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Abstract 



"A system [comprises] includes a virtual private network and an external device interconnected by a digital 
network. The virtual private network has a firewall, at least one internal device and a nameserver each 
having a network address. The internal device also has a secondary address, and the nameserver is 
configured to provide an association between the secondary address and the network address. The firewall, 
in response to a request from the external device to establish a connection therebetween, provides the 
external device with the network address of the nameserver. The external device, in response to a request 
from an operator or the like, including the internal device's secondary address, requesting access to the 
internal device, generates a network address request message for transmission over the connection to the 
firewall requesting resolution of the network address associated with the secondary address. The firewall 
provides the address resolution request to the nameserver, and the nameserver provides the network 
address associated with the secondary address to the firewall. The firewall, in turn, provides the network 
address in a network address response message for transmission over the connection to the external 
device. The external device can thereafter use the network address so provided in subsequent 
communications with the firewall intended for the internal device. 
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VOWOCHTTJNG 12(m| 



Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

® Kommunikationssystem und -Verfahren 

(57) Das erfindungsgemafce System umfaftt ein virtuelles 
privates Netzwerk (15) und eine externe Vorrichtung 
(12{m)), welche durch ein digitales Netzwerk (14) mitein- 
ander verbunden sind. Das virtuelle private Netzwerk (15) 
weist eine Firewall (30), wenigstens eine interne Vorrich- 
tung (31 (s)) und einen Namen-Server (32) auf r welche je- 
weils eine Netzwerkadresse besitzen. Die interne Vorrich- 
tung (31(s)) besitzt auch eine Sekundaradresse, und der 
Namen-Server (32) ist derart konfiguriert, daft er eine Zu- 
ordnung zwischen der Sekundaradresse und der Netz- 
werkadresse bereitstellt. In Reaktion auf eine Anfrage von 
der externen Vorrichtung (12(m)) zum Aufbau einer Ver- 
bindung zur Firewall (30) ubermittelt die Firewall (30) der 
externen Vorrichtung (12(m)) die Netzwerkadresse des 
Namen-Servers (32). In Reaktion auf eine Anfrage von ei- 
nem Bediener oder ahnlichem, welche die Sekundarad- 
resse der internen Vorrichtung (31(s)) enthalt und einen 
Zugriff an die interne Vorrichtung (31(s)) anfordert, er- 
f zeugt die externe Vorrichtung (12(m)) eine Netzwerk- 
adressen-Anfragenachrichtzur Ubertragung uber die Ver- 
bindung an die Firewall (30), welche eine Auflosung der 
Netzwerkadresse, die der Sekundaradresse zugeordnet 
ist, anfordert. Die Firewall (30) ubermittelt die Adressen- 
auflosungsanfrage an den Namen-Server (32), und der 
Namen-Server (32) ubermittelt die Netzwerkadresse, wel- 
che der Sekundaradresse zugeordnet ist, an die Firewall 
(30). Daraufhin stelltdie Firewall (30) die Netzwerkadresse 
in einer ... 
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Beschreibung lich ist; in jedem Fall wird der ISP den Namen-Server iden- 

tifizieren, welcher fur die Vorrichtung zu verwenden ist, 

Die Erfindung betrifft allgemein das Gebiet der digitalen wenn sich die Vorrichtung beim ISP einioggt, d. h. anmel- 

Kommunikationssysleme.und -verfahren, und insbesondere det, Falls der Namen-Server, nachdem die Vorrichtung einen 

Systeme und Verfahren zum Vereinfachen der Kommunika- 5 Kontakt hergestellt hat, eine Zahlen-Internetadresse fur den 

tion zwischen Vorrichtungen, welche mit offentlichen Netz- Klartext-Domainnamen besitzt oder erhalten kann, ubermit- 

werken verbunden sind, z. B. dem Internet, und Vorrichtun- telt der Namen-Server die Zahlen-Internetadresse, welche 

gen, welche mit privaten Netzwerken verbunden sind. dem Klartext-Domainnamen entspricht, zu der Vorrichtung 

Digitale Netzwerke wurden entwickelt, urn die Ubertra- des Bedieners. Die Vorrichtung kann sodann die Zahlen-In- 

gung von Information, welche auch Daten und Programme 10 ternetadresse, welche von dem Namen-Server zuriickgesen- 

umfaBt, uber digitale Computersysteme und andere Digital- det wurde, in das Nachrichtenpaket einfugen und das Nach- 

vorrichtungen zu ermoglichen. Es wurde eine Vielzahl von richtenpaket an den ISP fur die Ubertragung uber das Inter- 

Arten von Netzwerken entwickelt und realisiert, einschlieB- net auf konventioneller Weise liefem. Die Internet-Schal- 

lich sog. Fernverbindungsnetze (Wide-Area Networks, tungsknoten verwenden die Zahlen-Internetadresse, urn das 

nachfolgend "WAN" genannt) und lokale Netzwerke (Local 15 Nachrichtenpaket an die gewunschte Zielvorrichtung zu 

Area Networks, nachfolgend "LAN" genannt), welche eine ubermitteln. 

Information unter Verwendung verschiedener Informations- Andere Probleme treten insbesondere in Verbindung mit 

ubcrtragungsmcthodcn ubermitteln. Im allgcmcincn werden der Ubertragung von Information uber cin offcntlichcs 

LANs innerhalb kleiner geographischer Bereiche realisiert, WAN, z.B. das Internet, auf. Ein Problem besteht darin, si- 

z. B. innerhalb eines einzelnen Burogebaudes oder ahnli- 20 cherzustellen, daB die uber das WAN ubertragene Informa- 

chem, zum Ubertragen von Information innerhalb eines be- tion, welche die Quellenvorrichtung und die Zielvorrichtung 

stimmten Buros, einer Firma oder einer ahnlichen Art von vertraulich behalten mochten, auch tatsachlich vertraulich 

Organisationseinheit. Andererseits werden WANs im allge- bleibt gegenuber moglichen Lauschem, welche die Informa- 

meinen auf relativ groBen geographischer Bereichen reali- tion abfangen konnen. Urn die Vertraulichkeit zu wahren, 

siert und konnen verwendet werden, um Information sowohl 25 wurden verschiedene Fonnen von Verschlusselung entwik- 

zwischen LANs als auch zwischen Vorrichtungen, welche kelt und werden verwendet, um die Information vor der 

nicht mit LANs verbunden sind, zu ubertragen. Derartige Ubertragung durch die Quellenvorrichtung zu verschliisseln 

WANs umfassen auch offentliche Netzwerke, z. B. das In- und die Information nach deren Empfang durch die Zielvor- 

ternet, welche zur Informationsiibertragung zwischen einer richtung zu entschlusseln. Falls gewunscht wird, dafi bei- 

Anzahl von Unlernehmen verwendet werden konnen. 30 spielsweise die gesamte Infonnalion, welche zwischen einer 

Es sind mehrere Probleme im Zusammenhang der Kom- bestimmten Quellenvorrichtung und einer bestimmten Ziel- 

munikation uber ein Netzwerk aufgetreten, insbesondere in vorrichtung ubertragen wird, vertraulich bleiben soli, kon- 

einem groBen offentlichen WAN, wie es z. B. das Internet nen die Vorrichtungen einen sog. "Sicherheitstunnel" zwi- 

isl. Im allgemeinen werden Informationen uber ein Netz- schen den Vorrichtungen einrichten, der im wesentlichen si- 

werk in Nachrichtenpaketen ubertragen, welche ausgehend .15 cherstellt, daB die gesamte Information, welche von der 

von einer Vorrichtung, als Quelle bzw. Quellenvorrichtung, Quellenvorrichtung an die Zielvorrichtung ubertragen wird, 

zu einer anderen Vorrichtung, als Ziel bzw. Zielvorrichtung, vor der Ubertragung verschlusselt wird (mit Ausnahme von 

uber einen oder mehrere Router oder allgemein Schaltungs- bestimmten Protokollinformationen, wie Adresseninforrna- 

knoten im Netzwerk ubertragen werden. Jedes Nachrichten- tion, welche den FluB von Netzpaketen uber das Netzwerk 

paket enthalt eine Zieladresse, welche von den Schaltungs- 40 zwischen der Quellen- und Zielvorrichtung steuert), und daB 

knoten verwendet wird, um das jeweilige Nachrichtenpaket die verschlusselte Information vor der Verwendung durch 

an die geeignete Zielvorrichtung zu leiten. Z.B. im Internet die Zielvorrichtung entschlusselt wird. Die Quellen- und 

haben solche Adressen die Form von "n"-Bit Zahlen (wobei Zielvorrichtungen konnen jeweils fur sich eine Verschlusse- 

V 32 oder 128 sein kann), wobei solche Zahlenkolonnen lung bzw. Entschliisselung durchfuhren, oder die Verschliis- 

fur einen Benutzer schwierig sind zu merken und einzuge- 45 selung und Entschlusselung kann durch andere Vorrichtun- 

ben, wenn die oder der Benutzer die Ubertragung eines gen durchgefuhrt werden, bevor die Nachrichtenpakete uber 

Nachrichtenpakets veranlassen mochte. Um einen Benutzer das Internet ubertragen werden. 

von der Notwendigkeit zu befreien, sich solche spezifische Ein weiteres Problem, welches insbesondere im Zusarn- 

Zahlen-Internetadressen zu merken und einzugeben, stellt menhang mit Unternehmen, Regierungsamtem und privaten 

das Internet einen zweiten Adressierungsmechanismus be- 50 Organisationen auftritt, deren private Netzwerke, welche 

reit, der durch Benutzer der jeweiligen Vorrichtungen einfa- LANs, WANs oder etwaige Kombinationen derselben sein 

cher handzuhaben ist. Bei diesem Adressierungsmechanis- konnen, mit offentlichen WANs, z. B. dem Internet, verbun- 

mus werden Internet-Domains, wie etwa LANs, Internet- den sind, besteht darin, sicherzustellen, daB deren private 

Service-Provider (nachfolgend "ISP" genannt) und ahnli- Netzwerke sicher sind gegenuber anderen Netzwerken, zu 

che, welche im Internet verbunden sind, durch fur einen Be- 55 welchen z. B. die Unternehmen keinen Zugriff haben moch- 

nutzer relativ einfach les- und merkbare Namen identifizieru ten, oder einen ZugrifT durch andere zu regulieren und zu 

die nachfolgend als "Klartexinamen" bezeichnet werden. kontrollieren, zu welchen z. B. die jeweiligen Organisatio- 

Um den Einsatz von solchen Klartextnamen umzusetzen, nen einen begrenzten Zugriff haben mochten. Um dies um- 

werden Namen-Server, auch als DNS-Server fur "Domain zusetzen, verbinden die Organisationen in der Regel ihre 

Name Server" bezeichnet, bereitgestellt, um die Klartextna- 60 privaten Netzwerke mit offentlichen WANs uber eine be- 

men in die geeigneten Internetadressen umzuwandeln. grenzte Anzahl von Gateways, welche manchmal als "Fire- 

Wenn ein Bediener einer Vorrichtung, der die Ubertragung walls" bezeichnet werden, durch welche der gesamte Netz- 

eines Nachrichtenpakets an eine andere Vorrichtung verkehr zwischen dem internen und dem offentlichen Netz- 

wunscht, den Klartextnamen der anderen Vorrichtung ein- werk lauft. In der Regel sind Netzwerkadressen von Do- 

gibt, mmmt die Vorrichtung zucrst Kontakt mit cincm Na- 65 mains und Vorrichtungen in dem privaten Netzwerk "hintcr" 

men-Server auf. Im allgemeinen kann der Namen-Server ein der Firewall den Namen-Servern bekannt, welche in den pri- 

Teil des ISP selbst sein oder er kann eine spezielle Vorrich- vaten Netzwerken vorgesehen sind: sie sind aber nicht zu- 

tung sein, welche durch den ISP uber das Internet zugang- ganglich fur Namen-Server oder andere Vorrichtungen au- 
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ticrtiulh der privaien Ncizwerke, was die Kommunikation 
zwischen einer Wrichiung autfcrhalb des privaten Netz- 
werkes und cincr Vorrichtung inncrhalb dcs privaten Netz- 
wcrkcs schwierig mucin, i 

I iin /.icl iter \orlicgend l-rlindung isl cs, hier Abhilfe zu 5 
schal'lcn. 

Dieses '/-iet crreiejn die lirlimlung durch die Gegenstande 
der Anspriiehe t. 7 und 13. licvor/ugie Ausfiihrungsbei- 
spiele der 1-rlirnlung sind in den jewcils abhangigen Ansprti- 
ehen beschrieben. 10 

Danach schutlt die l-rlmdurg cin ncuartiges und verbes- 
sertcs Sysicm unit cin Vcrluhrcn /uin Vereinfachen von 
Kommunikaiion /uischen Vt imchUingcn, welche mit 61- 
fenl lichen Nei/.uerkcn. /. H. dem Internet, verbunden sind, 
und Vorrichiungen. uelehe mil privaten Netzwerken ver- 15 
bunden si nit. wobei die Au I Idling von Sekundaradressen, 
wie eiwa Texi- b/u. Kl.incMn.iiuen im Iniemci, in die zuge- 
horigen Nel/.wcrkadrc^n durch Viincn-Scrvcr odcr ahnli- 
che Vorrichtungen. die uui den pnv.iicn Nci/.wcrken ver- 
bunden sind. eruioglichi * rd 20 

Hierfiir slelll die Hrlitvlunc em >»\*iciii /ur Vcrlugung mil 
eineni vinucllcn Privatci Nci/wcrK i nd cincr cMcmen Vor- 
richtung. wclchc durch em di-.ii.ik-> Nei/ucrk miieinander 
verbunden sind. souic cm K-'»ijiiuwnk..n«»*»^ vcrlahren und 
ein Coinpulcrprograiiim|M*» Ih'm /um rcmo i^.uiien Verwen- 25 
den mil cincm derariigCN S^u-n \iriiK*lle privale Netz-, 
werk weist eine Firewall rvu or } irvu .ill Swiem. wenig- 
stens eine inlerne Vorrichune .n* ciivn N.:incn-Scrvcr auf. 
welche jewei Is eine Nci/ucrk *u.\%c hcxii/cn. Die interne 
Vorrichtung besit/.t Icrner cnv Nck.iiw.ar.jdrcssc. und der 30 
Namen-Scrver isl derail ki»nheuucrt. .ur. cr cine /.uordnung 
zwischen der Sckundarudrc^' w*l »u-r Nct/ucrkadresse be- 
reitstellt. In Rcakliou aiit cine Xniuec \-»n der ex tern en 
Vorrichtung zuni Aulhau citvr Wrhirdung /.ur Firewall 
ubermitlelt die Firewall der c»icincn V mchiung die Netz- 35 
werkadresse des Nanien-Serxcrv In kcAiion auf eine An- 
frage von eineni Bcdicncr »*»kr ahnhcheiu. uelehe die Se- 
kundaradresse der inlerne n V«ttu tilling enthalt und einen 
Zugriff an die interne Vorrieliiiine anl.tdcrl. cr/.eugt dieex- 
terne Vorrichtung eine Nei/wcrk.»ues\cn- Anlragenachricht 40 
zur Ubertragung iiber die VciI-m»..iimj an Ax Firewall, wel- 
che eine Auflosung der Nci/ucrW.idrcNse. die der Sekunda- 
radresse zugeordnel isl. anlor.Un l>u- l ircuall iibermittelt 
die Adressenauflosungsanfraec ,n »lcn N.imen-Server und 
der Namen-Servcr uberinitteii die Vt/ werkadresse. welche 45 
der Sekundaradressc /.ugcordnct im. an die Firewall. Darauf- 
hin slelll. die Firewall (tie Nci/ucrk.idressc in einer Netz- 
werkadressenaniwonnaehriehi /ur henrjgung iiber die 
Verbindung an die externe V»iiulm ne hcrcil. Die externe 
Vorrichtung kann sodann die aui »tu*»v- Weise bcrciigestellte 50 
Neizwerkadresse in nachfulgcruUn .m •tic micme Vorrich- 
tung gerichieie Komniunikaiioncr in i der I ircuall verwen- 
den. 

Weitere Vorteilc und Ausgcviahunjren iter I -rt uniting erge- 
ben sich aus der nachfolgcndcn dei.:illiencn Bcschrcibung 55 
eines bevorzugten AusluhrungsrvixpiclN. In der Beschrei- 
bung wird auf die beigefugic schein.iiische /eiehnung Be- 
zug genommen. Darin /.eigi: 

Fig. 1 ein funklionelles BUvkduu'ranmi eines erfindungs- 
gemalten Netzwerkes. 6<) 

Fig. 1 zeigt cin funklionelles HI. vkitiagranini eines Netz- 
werkes 10, welches gcniati iter sorlieeenden lirlinitung auf- 
gebaut ist. Das Nclzwerk 10 genial! Kijs. I unilaLii einen In- 
temet-Service-Provider (naehlnlgcnil "IS1*" I II. vselehcrdie 
Ubertragung von Nachriehtenpakeien /.wisehen einer odcr 65 
mehreren Vorrichiungen 12(1) bis I2(M) (naehfolgend all- 
gemeinen mit detn Bezugs/eiehen 12c m) ideniili/.iert), wel- 
che mit dem ISP 11 vcrbumlen si mi. und anderen Vorrich- 
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tungen. welche allgemein durch ein Bezugszeichen 13 ge- 
kennzeichnet sind, uber das Internet 14 ermoglicht, wobei 
die Ubertragung von Information in Nachrichtenpaketen 
zwischen den Vorrichiungen 12(tn) und 13 realisiert. wird. 
Der ISP 11 verbindet das Internet 14 uber eine oder mehrere 
logische Verbindungen oder Gateways oder ahnlichem (im 
vorliegenden allgemein als "Verbindungen" bezeichnel), 
welche allgemein durch das Bezugszeichen 41 gekennzeich- 
net sind. Der ISP 11 kann ein offentlicher ISP sein, welcher 
in diesem Falle die Verbindung mit Vorrichtungen 12(m) 
herstellt, welche durch Bediener betrieben werden konnen, 
die der allgemeinen Offentlichkeit angehoren, so daB diese 
Bediener Zugang zu dem Internet erlangen. Alternativ dazu 
kann der ISP 11 ein privater ISP sein. In diesem Falle wer- 
den die damit verbundenen Vorrichtungen 12(m) im allge- 
meinen bei spiels weise durch Angestellte eines bestimmten, 
Unternehmens oder einer Regierungseinrichtung, Miiglie- 
dcrn von cincr privaten Organisation odcr ahnlichcn betrie- 
ben, um diesen Angestellten oder Mitglieder einen Zugang 
in das Internet bereit zu stellen. 

In an sich konventioneller Weise weist das Internet ein 
Netz von Schaltungsknoten auf (welche nicht separat darge- 
stellt sind), welche die ISPs 11 und die Vorrichtungen 13 
miteinander verbinden, um dazwischen die Ubertragung 
von Nachrichtenpaketen zu ennoglichen. Die Nachrichten- 
pakete, welche iiber das Internet 14 ubertragen werden, 
stimmen mil denjenigen uberein, welche durch das sog. In- 
ternetprotokoll (IP) definiert werden, und umfassen einen 
Kopfabschnitt, einen Datenabschnitt und konnen einen Feh- 
lererfassungs- und/oder Korrekturabschnitt aufweisen. Der 
Kopfabschnitt enthalt Information, welche verwendet wird, 
um das Nachrichtenpaket uber das Internet 14 zu ubertra- 
gen, beispielsweise eine Zieladresse, welche die Vorrich- 
tung identifiziert, welche das Nachrichtenpaket als Zielvor- 
richtung empfangen soli, und eine Quellenadresse, welche 
diejenige Vorrichtung identifiziert, welche das Nachrichten- 
paket erzeugt hat. In jedem Nachrichtenpaket haben die 
Ziel- und Quellenadresse jeweiis die Form einer Zahl, wel- 
che eindeutig die jeweilige Ziel- bzw. Quellenvorrichtung 
identifiziert. Die Schaltungsknoten im Internet 14 verwen- 
den wenigstens die Zieladresse eines jeweiligen Nachrich- 
tenpaketes, um das jeweilige Nachrichtenpaket an die Ziel- 
vorrichtung zu iibermitteln, wenn die Ziel vorrichtung an das 
Internet angeschlossen ist, oder an einen ISP 11 oder andere 
Vorrichtungen, welche an das Internet 14 angeschlossen 
sind, welche sodann das Nachrichtenpaket an das geeignete 
Ziel senden werden. Der Datenabschnitt eines jeden Nach- 
richtenpakets enthalt die in dem Nachrichtenpaket ubertra- 
genen Daten; und der Fehlererfassungs- und/oder Korrek- 
turabschnitt enthalt Fehlererfassungs- und/oder Korrektur- 
informationen, welche verwendet werden konnen, um zu 
verifizieren, daB das Nachrichtenpaket in korrekter Weise 
von der Quelle zu der Ziel vorrichtung ubertragen wurde (im 
Fall der Fehlererfassungsinformation), und um ausgewahlte 
Arten von Fehlern zu korrigieren, falls das Nachrichtenpa- 
ket nicht korrekt ubertragen wurde (im Falle der Fehlerkor- 
reklurinformation). 

Die Vorrichtungen 12(m), welche mit dem ISP 11 verbun- 
den sind, konnen jede beliebige Anzahl von Arten von Vor- 
richtungen umfassen, welche uber das Internet 14 mil ande- 
ren Vorrichtungen 13 kommunizieren, umfassend z. B. Per- 
sonalcomputer, Computer-Workstations und ahnliches. Jede 
Vorrichtung 12(m) kommuniziert mil dem ISP 11, um Nach- 
richtenpakete ftir die Ubertragung iiber das Internet 14 an 
dicscn zu ubertragen, odcr um Nachrichtcnpakctc, wclchc 
durch den ISP 11 iiber das Internet empfangen werden, von 
diesem zu empfangen. Dabei kann jedes geeignete Protokoll 
verwendet werden, z. B. das bekannte Point-to- Point Proto- 
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koll (allgemein mit "FFP" abgekiirzt), falls die Vorrichtung 
12(m) uber eine Point-to-Point Verbindung mit dem ISP 11 
yerbunden ist, oder irgendein konventionelles "Multi-Drop" 
Protokoll, falls die Vorrichtung 12(m) mit dem TSP 11 uber 
ein "Multi-Drop"-Netzwerk, z. B, das Ethernet, verbunden 
ist ? oder ahnliches. Die Vorrichtungen 12(rn) sind im allge- 
nieinen entspreehend der ublichen Computerarchitektur mit 
gespeicherten Programmen aufgebaut, weiche z. B. eine Sy- 
stemeinheit, eine Bildschirmanzeigeeinheit und Bediener- 
eingabeeinrichtungen, wie etwa eine Tastatur oder eine 
Maus, umfaBt. Eine Systemeinheit weist im allgemeinen 
eine oder mehrere Prozessor-, Speicher-, Massenspeicher- 
einrichtungen, z. B. Festplatten- und/oder Bandspeicherele- 
mente, oder andere Elemente (nicht separat gezeigt) auf, wie 
etwa Netzwerk- und/oder TelephonschnittsteUeneinrichtun- 
gen, urn die jeweilige Vorrichtung an den ISP 11 anzukop- 
peln. Die Prozessor- bzw. Verarbeitungseinrichtungen verar- 
bcitcn Programme, cinschlicBlich Anwcndungsprogrammc, 
unter der Steuerung eines Betriebssystems, urn verarbeitete 
Daten zu erzeugen. Die Bildschinneinheit ermoglicht es der 
Vorrichtung, die verarbeiteten Daten und einen Verarbei- 
tungsstatus der Daten dem Benutzer anzuzeigen, und die 
Bedienereingabeeinrichtung ermoglicht es dem Bediener, 
Daten einzugeben und die Verarbeitung zu steuern. 

Diese Elemente der Vorrichtung 12(m) arbeiten in Ver- 
bindung mit einer geeigneten Programmierung so zusam- 
men, urn eine Vorrichtung 12(m) mit einer Anzahl von funk- 
tionellen Elementen bereit zustellen. beispielsweise eine 
Bedienerschnittstelle 20, eine Netzwerkschnittstelle 21, ei- 
nen Nachrichtenpaketgenerator 22, einen Nachrichtenpaket- 
empfanger und -prozessor 23, eine ISP Einloggsteuerung 
bzw. Anmeidungssteuerung 24, einen Internetparameter- 
speicher 25 und im Zusammenhang mit der vorliegenden 
Erfindung einen Sicherheits-Nachrichtenpaketprozessor 26. 
Die Bedienerschnittstelle 20 ermoglicht, daB die Vorrich- 
tung 12(m) Eingabeinformationen von der/den Bedienerein- 
gabevorrichtung(en) der Vorrichtung 12(m) empfangt und 
die Ausgabeinformationen dem Bediener auf der/den Bild- 
schirmeinrichtung(en) der Vorrichtung 12(m) angezeigt 
werden. Die Netzwerkschnittstelle 21 ermoglicht eine Ver- 
bindung der Vorrichtung 12(m) mit dem ISP 11 unter Ver- 
wendung des geeigneten PPP oder Netzwerkprotokolls, um 
Nachrichtenpakete an den ISP 11 zu iibertragen und von die- 
sem Nachrichtenpakete zu empfangen. Die Netzwerk- 
schnittstelle 21 kann eine Verbindung mit dem ISP 11 uber 
das oftentliche Telefonnetz vorsehen, um einen Wahlverbin- 
dungsnetzwerkbetrieb (sog. Dial-Up Betrieb) der Vorrich- 
tung 12(m) uber das offentliche Telefonnetz zu ermogli- 
chen. Alternativ oder zusatzlich dazu kann die Netzwerk- 
schnittstelle 21 eine Verbindung durch den ISP 11 uber bei- 
spielsweise ein konventionelles LAN ermoglichen, wie 
etwa das Ethernet. In Reaktion auf eine durch die Bediener- 
schnittstelle 20 gelieferte Eingabe und/oder in Reaktion auf 
Anfragen aus Programmen (nicht gezeigt), weiche durch die 
Vorrichtung 12(m) verarbeitet werden, kommuniziert die 
ISP Einloggsteuerung 24 uber die Netzwerkschnittstelle 21, 
um die Initialisierung (sog. "Log-On") einer Kommunikati- 
onssitzung zwischen der Vorrichtung 12(m) und dem ISP 11 
zu ermoglichen. Wahrend dieser Kommunikationssitzung 
kann die Vorrichtung 12(in) Information in der Form von 
Nachrichtenpaketen an andere Vorrichtungen uber das Inter- 
net 14 sowie an andere Vorrichtungen 12(m') (wobei m' ^ 
m), weiche mit der ISP 11 oder mit anderen ISPs verbunden 
sind, iibertragen. Wahrend eines Log-On-Betriebs empfangt 
die ISP Einloggsteuerung 24 die Intcrnctprotokollparamctcr 
(IP-Parameter), weiche im Zusammenhang mit einer Nach- 
richtenpaketerzeugung wahrend der Kommunikationssit- 
zung verwendet werden. 



Wahrend einer Kommunikationssitzung erzeugj. der 
Nachrichtenpaketgenerator 22 Nachrichtenpakete zur Uber- 
tragung durch die Netzwerkschnittstelle 21 in Reaktion auf 
eine Eingabe, weiche durch den Bediener uber die Bediener- 
5 schnittstelle 20 geliefert wird und/oder in Reaktion auf An- 
fragen aus Programmen (nicht separat gezeigt), weiche 
durch die Vorrichtung 12(m) verarbeitet werden. Die Netz- 
werkschnittstelle 21 empfangt auch Nachrichtenpakete aus 
dem ISP 11 und liefert diese an den Nachrichtenpaketemp- 

io fanger und -prozessor 23 zur Verarbeitung und Bereitstel- 
lung an die Bedienerschnittstelle 20 unctfoder anderen Pro- 
grammen (nicht gezeigt), weiche durch die Vorrichtung 
12(m) verarbeitet werden. Falls die empfangenen Nachrich- 
tenpakete eine Information enthalten, z. B. Web-Seiten oder 

15 ahnliches, weiche dem Bediener angezeigt werden soli, 
kann die Information der Bedienerschnittstelle 20 geliefert 
werden, damit die Information auf der Bildschinneinheit der 
Vorrichtung angezeigt wird. Zusatzlich oder altcrnativ dazu 
kann die Information an andere Programme (nicht gezeigt) 

20 zur Verarbeitung geliefert werden, weiche durch die Vor- 
richtung 12(m) verarbeitet werden. 

Im allgemeinen konnen die Elemente, wie die Bediener- 
schnittstelle 20, der Nachrichtenpaketgenerator 22, der 
Nachrichtenpaketempfanger und -prozessor 23, die ISP Ein- 

25 loggsteuerung 24 und der Internetparameterspeicher25 Ele- 
mente eines konventionellen Internet-Browsers enthalten, 
wie die von Mosaic, Netscape Navigator und Microsoft In- 
ternet Explorer. 
Wie es oben erwahnt wurde, weist die Vorrichtung 12(m) 

30 im Zusammenhang mit der vorliegenden Erfindung einen 
Sicherheits-Nachrichtenpaketprozessor 26 auf. Der Sicher- 
heits-Nachrichtenpaketprozessor 26 ermoglicht den Aufbau 
und Verwendung eines "Sicherheitstunnels" zwischen der 
Vorrichtung 12(m) und anderen Vorrichtungen 12(nV) (wo- 

35 bei m' ^ m) oder 13, wie es welches weiter unten beschrie- 
ben wird. Im allgemeinen wird in einem solchen Sicher- 
heitstunnel Information in wenigstens dem Datenabschnitt 
der zwischen der Vorrichtung 12 (m) und einer spezifischen 
anderen Vorrichtung 12(m') (wobei m' ^ m) oder 13 iiber- 

40 tragenen Nachrichtenpakete geheimgehalten, beispielsweise 
durch Verschlusselung des Datenabschnittes vor der Uber- 
tragung durch die Quellen vorrichtung. Die Information in 
anderen Abschnitten eines derartigen Nachrichtehpakets 
kann ebenfalls geheimgehalten werden, mit Ausnahme der 

45 Information, weiche benotigt wird, um die Ubertragung des 
jeweiligen Nachrichtenpakets zwischen den Vorrichtungen 
zu ermoglichen, also z. B. wenigstens die Zielinformation, 
damit die Schaltungsknoten des Internets und die ISPs die 
Vorrichtung identifizieren konnen, weiche das Nachrichten- 

50 paket empfangen soli. 

Zusatzlich zu dem ISP 11 kann eine Vielzahl von anderen 
ISPs die Verbindung zum Internet herstellen, wie es durch 
die Pfeile 16 angedeutet ist, um eine Kommunikation zwi- 
schen Vorrichtungen, weiche an diesen anderen ISPs ange- 

55 schlossen sind, mit anderen Vorrichtungen uber das Internet 
zu ermoglichen, weiche die Vorrichtungen 12(n), weiche an 
dem ISP 11 angeschlossen sind, umfassen konnen. 

Die Vorrichtungen 13, auf weiche die Vorrichtungen 
12(m) zugreifen und mit welchen diese kommunizieren, 

60 konnen auch von jeder beliebigen Anzahl von Arten von 
Vorrichtungen sein, einschlieBlich Personalcomputer, Com- 
puter-Workstations und ahnliches, oder auch Minicomputer 
und GroBrechner, GroBspeichersysteme, Rechenserver, lo- 
kale Netzwerke (LANs) und Fernverbindungsnetzwerke 

65 (WANs), wclchc dcrartigc Vorrichtungen und zahlrcichc an- 
dere Arten von Vorrichtungen enthalten, die direkt oder in- 
direkt mit den Netzwerken verbunden werden konnen. Nach 
der vorliegenden Erfindung umfaBt wenigstens eine der Vor- 
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richtungen wenigstens ein privates Netzwerk, welches als 
yirtuelles privates Netzwerk 15 gekennzeichnet ist und z. B. 
die Form eines LAN oder eines WAN haben kann. Das vir- 
tuelle private Netzwerk 15 kann jede der Vorrichtungen 
12(m') (wobei m' # in) aufweisen (wobei die Verbindung 
zu dent Internet 14 uber einen ISP erfolgt) oder der Vorrich- 
tungen 13 (wobei die Verbindung zu dent Internet 14 unmit- 
telbar erfolgt). Bei dem vorliegend beschriebenen Ausfuh- 
rungsbeispiel wird angenommen, daG das virtuelie Netz- 
werk 15 eine Vorrichtung 13 aufweist. Das virtuelie private 
Netzwerk 15 uinfaBi selbst mehrere Vorrichtungen, welche 
hier als eine Firewall bzw. ein Firewall-System 30. mehrere 
Server 31(1) bis 31 (S) (im nachfolgenden allgemein mil 
dem Bezugszeichen 31 (s) angegeben) und ein Namen-Ser- 
ver 32 gekennzeichnet sind, wobei allesamt durch eine 
Ubertragungsverbindung 33 miteinander verbunden sind. 
Die Firewall 30 und die Server 31(s) konnen ahnlich sein 
wic jede der vcrschicdcncn Art en von Vorricht ungen 12(m) 
und 13, die hier beschrieben sind, und konnen daher bei- 
spielsweise umfasseri Personalcomputer. Computer-Work- 
stations und ahnliches, aber auch Minicomputer und GroB- 
rechner, GroGspeichersysteme, Rechenserver, lokale Netz- 
werke (LANs) und Fernverbindungsnetzwerke (WANs), 
welche derartige Vorrichtungen und zahlreiche andere Arten 
von Vorrichtungen umfassen, welche direkl oder indirekl 
mil den Netzwerken verbunden werden konnen. 

Wie oben ausgefuhrt wurde, kommunizieren diese Vor- 
richtungen einschlieBlich der Vorrichtungen 12(m) und der 
Vorrichtungen 13 durch Ubertragung von Nachrichtenpake- 
len iiber das Internet. Die Vorrichtungen 12(m) und 13 kon- 
nen Information in einem Peer-to-Peer bzw. gleichrangigem 
Modus, in einem Client-Server Modus odernach beiden die- 
serModi iibertragen. Im allgemeinen ubertragt eine Vorrich- 
tung in einer Peer-to-Peer Nachrichtenpaketubertragung In- 
formation in einem oder mehreren Nachrichtenpaketen an 
die andere Vorrichtung. Andererseits kann eine Vorrichtung, 
welche in einem Client-Server Modus als Client fungiert, 
ein Nachrichtenpaket an eine andere Vorrichtung ubertra- 
gen, welche als Server fungiert, um bei spiels weise einen 
Dienst durch die andere Vorrichtung auszulosen. Mehrere 
Arten derartiger Dienste sind dem Fachmann bekannt, bei- 
spielsweise das Wiedergewinnen bzw. Auslesen von Infor- 
mation aus der anderen Vorrichtung, damit diese aktivien 
wird, um Verarbeitungsoperationen und dergleichen durch- 
zufuhren. Falls der Server dazu dient, dem Client vor allern 
Informationen zu liefem, kann dieser allgemein als ein Spei- 
cherserver bezeichnet werden. Falls der Server andererseits 
Verarbeitungsoperationen auf Anfrage des Client ausfiihren 
soil, kann dieser allgemein als ein Rechnerserver bezeichnet 
werden. Andere Arten von Servem zum Ausfuhren von an- 
deren Arten von Diensten und Operationen auf Anfrage von 
Clients sind dem Fachmann ebenfalls bekannt. 

Wenn in einer Client-Server Anordnung eine Vorrichtung 
12(m) einen Dienst durch beispielsweise eine Vorrichtung 
13 ausgefuhrt haben mochte, erzeugt die Vorrichtung 12(m) 
eines oder mehrere Anfragenachrichtenpakete zur Obertra- 
gung an die Vorrichtung 13, welche den benotigten Dienst 
anfordern. Das Anfragenachrichtenpaket enthalt die Inter- 
netadresse der Vorrichtung 13, welche als die Ziel vorrich- 
tung das Nachrichtenpaket empfangt und den Dienst aus- 
fiihrt. Die Vorrichtung 12 (m) ubertragt das/die Anfragen- 
achrichtenpakete) an den ISP 11. Der ISP 11 ubertragt dar- 
aufhin das Nachrichtenpaket iiber das Internet an die Vor- 
richtung 13. 

Falls die Vorrichtung 13 die Form cincs WAN oder LAN 
hat, empfangt das WAN oder LAN das/die Nachrich ten pa- 
ke! (e) und lei tet dieses/diese zu einer dort angeschlossenen 
Vorrichtung weiter, welche den angeforderten Dienst aus- 



fuhren soil. 

In jedem Fall wird die Vorrichtung 13, welche den ange- 
forderten Dienst ausfuhren soil, nach Empfang des/der An- 
fragenachrichtenpakete) die Anfrage bearbeiten. Falls die 

5 Vorrichtung 12(m), welche das/die Anfragenachrichtenpa- 
kete) erzeugt hat, oder deren Bediener die notwendigen Be- 
fugnisse hat, um den Dienst von der Vorrichtung 13 anzufor- 
dern, und falls der angeforderte Dienst die Einleitung einer 
Informationsubertragung aus der Vorrichtung 13 als ein 

10 Speicherserver an die Vorrichtung 12(m) als ein Client um- 
faBt, erzeugt die Vorrichtung 13 eines oder mehrere Ant- 
wortnachrichtenpakete, welche die angeforderten Informa- 
tion enthalten, und ubertragt das/die Paket(e) iiber das Inter- 
net 14 an den ISP 11. Daraufhin ubertragt der ISP 11 das/die 

15 Nachrichtenpaket(e) an die Vorrichtung 12(m). Falls ande- 
rerseits der angeforderte Dienst die Einleitung eines Verar- 
bei lungs vorganges durch die Vorrichtung 13 als ein Rfcchen- 
scrvcr bcinhaltct, wird die Vorrichtung 13 den/dic angefor- 
derten Rechendienst(e) ausfuhren. Falls die Vorrichtung 13 

20 verarbeitete Daten, welche wahrend den Rechenvorgangen 
erzeugt wurden, an die Vorrichtung 12(m) als Client zuruck- 
senden soli, erzeugt die Vorrichtung 13 zusatzlich eines oder 
mehrere Antwortnachrichtenpakete, welche die verarbeite- 
ten Daten enthalten und ubertragt das/die Paket(e) uber das 

25 Internet 14 an den ISP 11. Der ISP 11 ubertragt daraufhin 
das/die Nachrichtenpaket(e) an die Vorrichtung 12(m). Ent- 
sprechende Operationen konnen durch die Vorrichtungen 
12(m) und 13, dem ISP 11 und dem internet 14 in Verbin- 
dung mit anderen Arten von Diensten ausgefuhrt werden, 

30 welche durch die Server- Vorrichtungen 13 bereitgestellt 
werden konnen. 

Wie oben angemerkt wurde, enthalt jedes Nachrichtenpa- 
ket, welches durch die Vorrichtungen 12(ni) und 13 zur 
Ubertragung uber das Internet 14 erzeugt wird, eine Ziel- 

35 adresse, welche von den Schaltungsknoten verwendet wird, 
um das jeweilige Nachrichtenpaket an die geeignete Ziel- 
vorrichtung zu leiten. Adressen im Internet haben die Form 
von "n"-Bit Zahlen (wobei "n" beim gegenwartigen Stan- 
dard 32 oder 128 sein kann). Um insbesondere einen Bedie- 

40 ner einer Vorrichtung 12(m) von der Notwendigkeit zu be- 
freien, sich spezifische Zahlenkolonnen bzw. Zalilen-Inter- 
netadressen zu merken und diese der Vorrichtung 12(m) ein- 
zugeben, um die . Erzeugung eines Nachrichtenpakets zur 
Ubertragung iiber das Internet einzuleiten, stellt das Internet 

45 einen zweiten Adressierungsmechanismus zur Verfiigung, 
welcher einfacher durch menschliche Bediener der jeweili- 
gen Vorrichtungen handhabbar ist. Bei diesem Adressie- 
rungsmechanismus werden Internet-Domains, wie etwa 
LANs, Internet-Service-Provider (ISPs) und ahnliche, wel- 

50 che in bzw. mit dem Internet verbunden sind, durch relativ 
einfach les- und merkbare Namen, sog. Klartextnamen, 
identifiziert. Dabei soil sich hier die Bezeichnung "Klartext- 
name" auf jede Art von Namen stext beziehen, z. B. auch auf 
Abkiirzungen, generische Bezeichnungen, Phantasiebe- 

55 griffe, etc. Um das System der Klartext-Domainnamen um- 
zusetzen, ist der ISP 11 mit einem Namen-Server 17 (der 
auch als ein DNS Server (Domain Name Server) bezeichnet 
werden kann) verbunden, welcher die Klartext-Domainna- 
men auflosen bzw. in eine gultige Internet adresse umwan- 

60 deln kann, um die geeignete Internetadresse fiir das in dem 
jeweiligen Klartextnamen angegebene Ziel bereitzustellen. 
Im allgemeinen kann der Namen-Server ein Teil des ISP 11 
oder damit direkl verbunden sein, wie es in Fig. 1 gezeigt 
ist, oder er kann eine bestimmte Vorrichtung sein, welche 

65 durch den ISP iiber das Internet zuganglich ist. Jcdcnfalls 
wenn sich die Vorrichtung 12(m) bei dem ISP 11 wahrend 
einer Kommunikationssitzung einloggt, wird der ISP 11. 
wie oben hingewiesen wurde, verschiedene Internet-Proto- 
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kollparametcM IP- Parameter) zuordnen, welche die Vorrich- ermciglicht es der Paketgeneralor 22, daB die Netzwerk- 

lunv! I2(m) vsahrcnd der Kommunikationssitzung verwen- adresse von dem Namen-Server 17, der in dem IP-Parame- 

del. urnl welche in dem Internelparameterspeicher 25 ge- terspeicher 25 identifizierl ist, erhalten wird. 

speichen sind. Oicse fP-P;irameier enihallen Tnformationen, Bei diesem Vorgang wird der Paketgenerator 22 antang- 

wie ! . 5 lich den Namen-Server 17 kontaktieren, urn zu versuchen, 

die geeignete Zahlen-Internetadresse von dem Namen-Ser- 

(a) eine I nicmci adresse fur die Vorrichtung 12(m), ver 17 zu erhalten. Bei diesem Vorgang wird die Vorrichtung 
welche die Vornchiung I2( m) wahrend der Kommu- 12(m) geeignete Nachrichtenpakete zur Ubertragung an den 
niationssii/unc idcniiti/ien: und Namen-Server 17 unter Verwendung der Zahlen-Internet- 

(b) ilie Mcniili/icmng eines Namen-Servers 17, wel- 10 adresse des Namen-Servers 17 erzeugen, welche durch den 
ehen die Vomehiung I2< ml wiihrend der Kommunika- ISP 11 ber6itgestellt wird, wenn sich die Vorrichtung 12(m) 
lionssit/un^ vcrucndcl. zu Beginn der Kommunikationssitzung einloggL Jedenfalls 

wenn der Namen-Server 17 die Zahlen-Internetadresse fur 

Wenn die Vorrichuing I2(ni) Nachrichtenpakete zur den Klartextnamen besitzt oder erhalten kann, wird der Na- 

Ubertragung cr/cujM. lugi sic ihre Iniemetadresse (obiger 15 men-Server 17 die Zahlen-Intemetadresse an die Vorrich- 

Punkt (a)) als die Oucllcn^lrvssc ein. Die Vorrichtung(en) tung 12(m) ubermitteln. Die Zahlen-Internetadresse wird 

13, welche die icucihecn Nachrichtenpakete empfangt/ durch den Paketgenerator 22 uber die Netzwerkschnittstelle 
empfangen. kann/k»»nnen d:e Qticllcnjdrcsse aus den Nach- 21 und den Pakctcmpfangcr und -prozcssor 23 cmpfangcn. 
richtenpaketen, welche der V*rrichuing 12(m) empfan- Nachdem der Paketgenerator 22 die Zahlen-Internetadresse 
gen werden, in Nachrkhtcnp.i\cicn \crucnden, welche die 20 empfangen hat, kann er die notwendigen Nachrichtenpakete 
Vorrichtung(en) 13 /ur lXnr.n:une an die Vorrichtung zur Ubertragung an die Vorrichtung 13 durch die Netzwerk- 
12(m) crzeugl/er/eui:en. >- . a., djs Inicrnci in der Lage ist, schnittstelle 21 und den ISP 11 erzeugen. 

die durch die jewciligc V »ru i \ ut 13 cr/ctieien Nachrich- Wie oben ausgefuhrt wurde, ist in Fig. 1 eine der Vorrich- 

tenpakete an die Vornchiunc 12* t * * /u Iciicn. 1 alls die Vor- tungen 13, welche an das Internet 14 angeschlossen sind, ein 

richtung 12(iiij uul" ilcn N.hiich*.Vi%ci 17 uhcr das Internet 25 virtuelles privates Netzwerk 15, wobei das virtuelle private 

14zugreift, hat die durch «lcn IsP II K reiivcMcllle Identifi- Netzwerk 15 eine Firewall bzw. ein Firewall-System 30, 

zierung des Nainen-Scr\erv |7 i*iehc -»K'n unter (b)) die mehrere als Server 31(s) gekennzeichnete Vorrichtungen 

Form einer Zahlcn-ln(cmct.idres*e. welche cv der Vorrich- und einen Namen-Server 32 aufweist, die durch eine Uber- 

tung 12(m) ennogliclu. I ur .ten Njmcn- Server 17 Nachrich- tragungsverbindung 33 miteinander verbunden sind. Die 

ten zu erzeugen, welche cine \iiiI.*vimi: der Klartext-Inter- 30 Server 31 (s), die Firewall 30 und der Namen-Server 32 kon- 

netadressen in Zahlcn-lnicnK'i.ntrc^'n jnli«rdcm. Der ISP nen als z. B. in einem LAN oder WAN verbundene Vorrich- 

11 kann der Vbrrichiung I2m«j jikM .culerc IP-Parameter tungen untereinander Information in Form von Nachrichten- 

zuordnen, wenn diese sich tvim I>P II en U 'eel, beispiels- paketen austauschen. Da die Firewall 30 mit dem Internet 14 

weise die Idenlifizicrune einer VrN ldi.ne /u dem Internet verbunden ist und daruber Nachrichtenpakete empfangen 

14, welche fiir Nachrichtcn /u teuenden ivi. die durch die 15 kann, hat sie auch eine Intemetadresse. Zusatzlich haben 
Vorrichtung 12(m) unersandi werden. mdvsondcre falls der wenigstens die Server 31(s), welche uber das Internet zu- 
ISP 11 Mehrfach-Galewax s aut ui ini In der Kegel speichert ganglich sind, auch jeweilige Internetadressen. Dabei dient 
die Vorrichtung 12(m) die Inicrnetp.ir jmeicr hit Internetpa- der Namen-Server 32 der Umwandlung von Klartext-Inter- 
rameterspeichcr 25 fur die Veru cvU.ne u ahrend der Kom- netadressen fiir die Server 31 (s) innerhalb des virtuellen pri- 
munikationssilzung. 40 vaten Netzwerkes 15 in die jeweiligen Zahlen-Intemetadres- 

Wenn ein Bedicner die Vmulmiuj: I2mi) veranlassen sen. 

mochte, daB sie ein Nachnchienp.ikct jn cine Vorrichtung Im allgemeinen wird das virtuelle private Netzwerke 15 

13 iibertragt gibi der odor die liedionen in) die Internet- von einem Unternehmen, einem Regierungsamt, einer Org a- 

adresse der Vorrichtung 13 .in die V>rnchtung 12(m) uber nisation oder ahnlichem gehalten, welche mochten, daB die 

die Bedienerschnitisielle 20 em. v*«\mc cine Information 45 Server 31 (s) Zugriff auf andere Vomchtungen auBerhalb des 

oder die Identifizierung tier in »lcr V* »rTichiung 12(m) aufbe- virtuellen privaten Netzwerkes 15 haben und an diese Infor- 

wahrten Infonnation, welche in dc Nachricht uberragen mation uber das Internet 14 ubertragen konnen, aber welche 

werden sollen. Die BedienerschmtKicllc 20 aktivien darauf- ebenfalls mochten, daB der Zugriff an die Server 31 (s) durch 

hin den Paketgenerator 22 /ur 1 ici imK* der benotigten Pa- Vorrichtungen 12(m) und andere externe Vorrichtungen 

kete zur Ubertragung durch den ISP 1 1 i.her das Internet 14. 50 uber das Internet 14 in einer kontrollierten Weise begrenzt 

Falls ist. Die Firewall 30 dient dazu, den Zugriff durch Vorrich- 
tungen auBerhalb des virtuellen privaten Netzwerkes 15 auf 

(i) der Bedicner die Zuhlen-Iircrncladrcssc bcreitge- Server 31(s) innerhalb des virtuellen privaten Netzwerkes 
stelll hat. oder 15 zu kontrollieren. Bei diesem Vorgang stellt die Firewall 

(ii) derBedienerdic Klariev- Interne! adresse bcreitge- 55 30 auch die Verbindung zum Internet 14 her und empfangt 
stellt hat, aber der Pake i generator 22 bercits die Zah- Nachrichtenpakete daruber zur Ubertragung an einen Server 
len-Intemetadrcsse besit/t. welche der durch den Be- 31 (s). Falls das Nachrichtenpaket angibt, daB die Quelle des 
diener eingegebenen k I arte vi- Interne tadresse ent- Nachrichtenpaketes einen Zugriff auf einen bestimmten Ser- 
spricht, ver 31(s) anfordert, und falls die Quelle fiir den Zugriff an 

60 den Server 31 (s) authorisiert ist, sendet die Firewall 30 das 

kann der Paketgenerator 22 unmiitclbar nach Aktivierung Nachrichtenpaket uber die Ubertragungsverbindung 33 an 

durch die Bedienerschnittstel le 20 die Pakeic er/.eugen und den Server 31(s). Falls andererseits die Quelle nicht authori- 

diese an die NetzwerksehniiiMcllc 21 /ur l ihenragung an siert ist, auf den Server 31 (s) zuzugreifen, wird die Firewall 

den ISP 11 liefern. 30 das Nachrichtenpaket nicht an den Server 31 (s) ubersen- 

Falls aber der Bedicner die KlartcM-Inicmciadressc der 65 den, und kann anstcllc cin Antwortnachrichtcnpakct an die 

Vorrichtung 13, an welche die Pakete /.u ubenragen sind, Quellenvorrichtung ubennitteln, welches angibt, daB die 

eingegeben hat. und falls der Paketgeneralor 22 die entspre- Quelle nicht fur den Zugriff an den Server 31 (s) authorisiert 

chende Zahlen-Internetadresse da von nicht bercits besitzt, ist. Die Firewall kann ahnlich aufgebaut sein wie die ande- 



SDOCID: <DE_19924575A1_I_> 



DE 199 24 575 A 1 



n 

ren Vorrichiungcn 31 (s) in dem virtuellen privaten Netz- 
werk 15, wobei zusatzlich eine oder mehrere Verbindungen 
mil dem Internet vorhanden sind, welche allgemein durch 
das Bczugszcichen 43 gckennzeichnet sind. 

Konmiunikationen zwischen Vorrichtungen auBerhalb 
des virtuellen privaten Netzwerkes 15, z. B. der Vorrichtung 
12(m), und einer Vorrichtung, z. B. einem Server 31(s), in- 
nerhalh des virtuellen privaten Netzwerkes 15 kann uberei- 
hen Sieherheitstunnel /.wischen der Firewall 30 und der ex- 
ternen Vorrichtung, wie es oben beschrieben ist, erreicht 
werden, daniit die ausgetauschlen Infonnation geheim blei- 
ben. wahrend diese uber das Internet 14 und durch den ISP 
11 ubcrtragen werden. Fin Sieherheitstunnel zwischen der 
Vorrichtung I2(m) und dem virtuellen privaten Netzwerk 15 
ist in l< 1 durch logischc Verbindungen dargestellt, welche 
durch ilte Bczugszcichen 40, 42 und 44 gekennzeichnet 
sind; cs vcrsieht sich. dati die logischen Verbindung 42 eine 
der logischen Verbindungen 41 zwischen dem ISP 11 und 
dem Internet 14 und die logisehe Verbindung 44 eine der lo- 
gischen Verbindungen 43 zwischen dem Internet 14 und der 
Firewall 30 umlaCt. 

Der Au t bau eines Sicherheitstunnels kann durch eine 
Vorrichninj: I2uu>. die extern zu dem virtuellen privaten 
Net/wcrk 15 ist. aiisgelosl werden. Bei diesem Vorgang er- 
zeuet die Vnrricliiung 12( nit in Reaktion auf eine Auflbrde- 
rung durch deren Bediener ein Nachrichtenpaket zur Uber- 
tragung durch den IS!' II und das Internet 14 an die Firewall 
30. welches den Aulbau eines Sicherheitstunnels zwischen 
der Vorrichtum: I2im) und der Firewall 30 anfordert. Das 
Nachrichienpaket kann an eine bestimmte Zahlen-Internet- 
adresse pcrichiet scin. welche der Firewall 30 zugeordnet ist 
untl welche lur Sicheriieiistunnelautbauanfragen reserviert 
ist, und ucMic lei net der Vorrichtung 12(m) bekannt ist und 
durch den Namcn Server 17 bereitgestellt wird. Falls die 
Vorrichiung 1 2t no aulhorisiert ist. auf einen Server 31 (s) in 
dem virtuellen privaten Netzwerk 15 zuzugreifen, nehmen 
die Vorrichtung I2im> als Client und die Firewall 30 einen 
Dialog auf. wclcher den Austausch von einem oder mehre- 
ren Nachrichienpaketen liber das Internet 14 umfaBt. Wah- 
rend des Dialogs kann die l'ircwall 30 der Vorrichtung 
12(m) die Meniifizicrung eines Hnischlusselungsalgorith- 
mus und einen zugehorigen linischlusselungsschlussel be- 
reitstellen. welche die Vorrichmng 12(m) beim Entschliis- 
seln der vcrschlusseltcn Abschnitie der Nachrichtenpakete 
zu verwenden hat. welche das virtue He private Netzwerk an 
die Vorrichtung I2(m) iiberiragt. Zusatzlich dazu kann die 
Firewall 30 der Vorrichtung 1 2( in) auch die Identifizierung 
eines Verschlussclungsalgorithmus und einen zugehorigen 
Vcrschlussclungsschlussel bereilstcllen, welche die Vorrich- 
tung 12(in) beim Verschlusseln der Abschnitie der Nach- 
richtenpakete zu verwenden hat. welche die Vorrichtung 
12(m) an das virtue lie private Netzwerk 15 ubertragt und 
welche verschlusseli werden sollen. Alternativ dazu kann 
die Vorrichtung 12(m) die Identifizierung des Verschlussel- 
ungsalgorithmus und des Verschlusselungsschlussels, wel- 
che die Vorrichtung 12(m) verwenden wird, an die Firewall 
30 wahrend des Dialogs lie fern. Die Vorrichtung 12(m) 
kann in ihrem IP-Parametcrspcicher 25 Infonuationen be- 
ireffend den Sieherheitstunnel speichern. einschlieBlich der 
Infonnation in Verbindung mil der Identifizierung der Fire- 
wall 30 und der Idcntifizierungen der Verschlussclungs- und 
Enischlussclungsalgorilhmcn und dazugehoriger Schliissel 
fiir Nachrichtenpakete, welche durch den Sieherheitstunnel 
ubenragen werden. 

Sod an n konncn die Vorrichtung 12(m) und die Firewall 
30 Nachrichtenpakete Liber den Sieherheitstunnel ubertra- 
gen. Beim Er/xugen von Nachrichienpaketen zur Ubertra- 
gung uber den Sieherheitstunnel verwendet die Vorrichtung 



12 

12(m) den Sicherheits-Paketprozessor 26, um die Ab- 
schnitte der Nachrichtenpakete zu verschlusseln, welche vor 
der Ubertragung durch die Netzwerkschnittstelle 21 an den 
TSP 11 zur Ubertragung uher das Internet 14 an die Firewall 

5 30 verschlusseli werden sollen, und um die verschliisselten 
Abschnitie der Nachrichtenpakete zu entschliisseln, welche 
durch die Vorrichtung 12(m) empfangen werden und welche 
verschlusseli sind. Insbesondere nachdem der Paketgenera- 
tor 22 ein Nachrichtenpaket zur Ubertragung an die Firewall 

to 30 uber den Sieherheitstunnel erzeugtl hat, liefert er das 
Nachrichtenpaket an den Sicherheits-Paketprozessor 26. 
Der Sicherheits-Paketprozessor 26 verschlusseli daraufhin 
die Abschnitte des Nachrichtenpakets, welche verschliisselt 
werden sollen, unter Verwendung des Verschlusselungsal- 

15 gorithmus und des Verschlusselungsschlussels. Nachdem 
die Firewall 30 ein Nachrichtenpaket von der Vorrichtung 
12(m) uber den Sieherheitstunnel empfangen hat, Wird sie 
dieses entschliisseln und, falls der bcabsichtigtc Empf anger 
des Nachrichtenpakets eine andere Vorrichtung, z. B. ein 

20 Server 31(s), in dem virtuellen privaten Netzwerk 15 ist, 
wird die Firewall 30 das Nachrichtenpaket an diese andere 
Vorrichtung uber die Ubertragungsverbindung 33 ubertra- 
gen. 

Wenn ein Nachrichtenpaket von einer Vorrichtung, z. B. 

25 einem Server 31(s), in dem virtuellen privaten Netzwerk 15 
an die Vorrichtung 12(m) uber den Sieherheitstunnel uber- 
tragen werden soli, empfangt die Firewall 30 ein solches 
Nachrichtenpaket uber die Ubertragungsverbindung 33 und 
verschliisselt das Nachrichtenpaket zur Ubertragung uber 

30 das Internet 14 an den ISP 11. Der ISP 11 sendet daraufhin 
das Nachrichtenpaket an die Vorrichtung 12(m), insbeson- 
dere an deren Netzwerkschnittstelle 21. Die Netzwerk- 
schnittstelle 21 liefert das Nachrichtenpaket an den Sicher- 
heits-Paketprozessor 26, welcher die verschliisselten Ab- 

35 schnitte des Nachrichtenpakets unter Verwendung des Ent- 
schliisselungsalgorithmus und -schlussels entschlusselt. 

Ein Problem trill auf im Zusammenhang mil Zugriffen 
durch eine Vorrichtung, z. B. einer Vorrichtung 12(m), wel- 
che extern zum virtuellen privaten Netzwerk 15 ist, und ei- 

40 ner Vorrichtung, z. B. einem Server 31{s), welche extern zu 
der Firewall ist, namlich dann, wenn dem Namen-Server 17 
keine Zahlen-Internetadressen fiir die Server 31(s) und an- 
dere Vorrichtungen bereitgestellt sind, die sich innerhalb des 
virtuellen privaten Netzwerkes 15 befinden - mit Ausnahme 

45 der Zahlen-Internetadressen, welche der Firewall 30 zuge- 
ordnet sind. Folglich wird die Vorrichtung 12(m) nach Ein- 
gabe der Klartext-Internetadresse durch den Bediener nicht 
in der Lage sein, die Zahlen-Internetadresse des Servers 
31 (s) zu erhalten, wenn er auf den Namen-Server 17 zu- 

50 greift. 

Wenn die Vorrichtung 12(m) und die Firewall 39 zusam- 
menarbeiten, um einen dazwischenliegenden Sieherheits- 
tunnel aufzubauen, liefert die Firewall 30 zur Behebung des 
obigen Problems an die Vorrichtung 12(m) zusatzlich zu 

55 mogiichen Identirikationen der Verschiusselungs- und Ent- 
schlusselungsalgorithmen und -schlusseln, welche im Zu- 
sammenhang mit der Ubertragung der Nachrichtenpakete 
uber den Sieherheitstunnel zu verwenden sind, an die Vor- 
richtung 12(m) auch die Identifizierung eines Namen-Ser- 

60 vers, z. B. eines Nam en- Servers 32, innerhalb des virtuellen 
privaten Netzwerkes 15, auf welchen die Vorrichtung 12(m) 
zugreifen kann, um die geeigneten Zahlen-Internetadressen 
fiir die Klartext-Internetadressen zu erhalten, welche durch 
den Bediener einer Vorrichtung 12(m) eingegeben werden. 

65 Die Identifizierung des Namcn-Scrvcrs 32 wird cbcnfalls in 
dem IP-Parameterspeicher 25 gespeichert, zusammen mit 
der Identifizierung des Namen-Servers 17, welche durch den 
ISP 11 bereitgestellt wurde, sbbald die Vorrichtung 12(m) 
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beim ISP 11 zu Beginn einer Kommunikationssitzung ein- 
geloggt wurde. Wenn daher die Vorrichtung 12(m) ein 
Nachrichtenpaket an eine Vorrichtung, z. B. einen Server 
31 (s), in dem virtuellen privaten Netzwerk 15 unter Verwen- 
dung einer Klartext-Internetadresse ubertragen mochte, wel- 
che z. B. durch einen Bediener bereitgestellt bzw. eingege- 
ben wurde, greift die Vorrichtung 12(m) zu Beginn auf den 
Namen-Server 17 zu, wie es oben beschrieben wurde, um zu 
versuchen, die zu der Klartext-Internetadresse zugehorige 
Zahlen-Internetadresse zu erhalten. Da der Namen-Server 
17 auBerhalb des virtuellen privaten Netzwerkes 15 ist und 
die durch die Vorrichtung 12(m) angeforderten Information 
nicht besitzt, sendet er ein entsprechend lautendes Antwort- 
nachrichtenpaket. Die Vorrichtung 12(m) wird sodann ein 
Anfragenachrichtenpaket zur Ubertragung an den Namen- 
Server 32 durch die Firewall 30 und liber den Sicherheits- 
tunnel erzeugen. Falls der Namen-Server 32 eine Zahlen-In- 
tcmctadrcssc besitzt, wclchc zu der Klartcxt-Intcrnctadrcssc 
in dem Anfragenachrichtenpaket gehdrt, welches durch die 
Vorrichtung 12(m) geliefert wird, stellt er die Zahlen-Inter- 
netadresse in einer Weise bereit, welche im allgemeinen der- 
jenigen ahnlich ist, welche oben im Zusammenhang mit 
dem Namen-Server 17 beschrieben wurde mit der Aus- 
nahme, daB die Zahlen-Internetadresse durch den Namen- 
Server 32 in einem an die Firewall 30 gerichtelen Nachrich- 
tenpaket geliefert wird, und die Firewall 30 sodann das 
Nachrichtenpaket uber den Sicherheitstunnel an die Vorrichr 
tung 12(m) ubermittelt. Es versteht sich, daB sich in dem 
Nachrichtenpaket, welches durch die Firewall 30 ubertragen 
wird, die Zahlen-Internetadresse in dem Nachrichtenpaket 
im Datenabschnitt des Nachrichtenpakets befindet, welches 
uber den Sicherheitstunnel ubertragen wird und entspre- 
chend verschlusselt sein wird. Das Nachrichtenpaket wird 
durch die Vorrichtung 12(m) in einer ahnlichen Weise verar- 
beitet, wie sie oben im Zusammenhang mit anderen Nach- 
richtenpaketen beschrieben wurde, welche durch die Vor- 
richtung 12(m) uber den Sicherheitstunnel empfangen wer- 
den. Das heiBt, daB das Nachrichtenpaket durch den Sicher- 
heits-Paketprozessor 26 vor dem Ubermitteln an den Paket- 
empfanger und -prozessor 23 zur Verarbeitung entschlusselt 
wird. Die Zahlen-Internetadresse fur den Server 31 (s) kann 
in einem Cache in einer Zugriffskontrolliste (ACL) in dem 
IP-Parameterspeicher 25 gespeichert werden, zusammen 
mit der Zuordnungsinformation beziiglich der zugehorigen 
Klartext-Internetadresse, einer Angabe, daB der Server 

31 (s), der dieser Klartext-Intemetadresse zugeordnet ist, 
uber die Firewall 30 des virtuellen privaten Netzwerkes 15 
zuganglich ist, und die Identifizierungen der Verschlussel- 
ungs- und Entschlusselungsalgorithmen und -schlussel, wel- 
che fiir eine Verschlusselung und Entschlusselung der geeig- 
neten Abschnilte der Nachrichtenpakete zu verwenden sind, 
welche an den Server 31 (s) ubertragen und von diesem er- 
halten werden. 

Es versteht sich, daB in Reaktion auf ein Nachrichtenpa- 
ket von der Vorrichtung 12(m), welches beim Namen-Server 

32 die Bereitstellung einer Zahlen-Internetadresse fiir eine 
durch die Vorrichtung 12(rn) angegebene Klartext-Internet- 
adresse anfordert, falls der Namen-Server 32 keine Zuord- 
nungsinformation zwischen der Klartext-Internetadresse 
und einer Zahlen-Internetadresse besitzt, der Namen-Server 
32 ein Antwortnachrichtenpaket, das entsprechend lautet, 
ubertragen kann. Falls die Vorrichtung 12(m) eine Identifi- 
zierung von anderen Namen-Servern besitzt, welche z. B. 
mit anderen virtuellen privaten Netzwerken (nicht gezeigt) 
verbunden scin konncn und zu wclchcn die Vorrichtung 
12(m) Zugriff hat, dann kann die Vorrichtung 12(m) versu- 
chen, auf die anderen Namen-Server in einer ahnlichen 
Weise, wie es oben beschrieben ist, zuzugreifen. Falls die 



Vorrichtung 12(m) nicht in der Lage ist, eine Zahlen-Inter- 
netadresse, welche der Klartext-Internetadresse zugeordnet 
ist, von irgendeinem der Namen-Server zu erhalten, zu wel- 
chem sie Zugriff hat und welche im allgemeinen im TP-Para- 

5 meterspeicher 25 der Vorrichtung 12(m) identifiziert sind, 
wird sie allgemein nicht in der Lage sein, auf eine Vorrich- 
tung mit der vorgegebenen Klartext-Internetadresse zuzu- 
greifen und wird den Bediener oder ein Prograrnm, welche . 
den Zugriff angefordert haben, dementsprechend unterrich- 

io ten. 

Mit diesem Hintergrund werden nun Operationen, welche 
durch die Vorrichtung 12(m) und das virtuelle private Netz- 
werk 15 in Verbindung mit der vorliegenden Erfindung 
durchgefuhrt werden, im Detail beschrieben. Im allgemei- 

15 nen laufen die Operationen in zwei Phasen ab. In einer er- 
sten Phase arbeiten die Vorrichtung 12(m) und das virtuelle 
private Netzwerk 15 zusammen, um einen Sicherheitstunnel 
durch das' Internet 14 aufzubaucn. In dieser crstcn Phase lie- 
fert das virtuelle private Netzwerk 15, insbesondere die Fi- 

20 rewall 30, die Identifizierung eines Namen-Servers 32, und 
es kann auch die den Verschlusselungs- und Entschlussel- 
ungsalgorithmus und -schlussel betreffende Information be- 
reitstellen, wie es oben beschrieben wurde. In der zweiten 
Phase, nachdem der Sicherheitstunnel eingerichtet wurde, 

25 kann die Vorrichtung 12(m) die wahrend der ersten Phase 
gelieferten Information im Zusammenhang mit der Erzeu- 
gung und Ubertragung von Nachrichtenpaketen an einen 
oder mehrere Server 31 (s) in dem virtuellen privaten Netz- 
werk 15 und bei dem notwendigen Umwandlungsvorgang 

30 der Klartext-Internetadressen zu Zahlen-Internetadressen 
aus dem Namen-Server 32, welcher durch die Firewall 30 
wahrend der ersten Phase, identifiziert wurde, verwenden. 

Folglich erzeugt die Vorrichtung 12(m) in der ersten (Si- 
cherheitstunnelaufbau)phase zu Beginn ein Nachrichtenpa- 

S5 ket zur Ubertragung an die Firewall 30, welches einen Auf- 
bau eines Sicherheitstunnels anfordert. Das Nachrichtenpa- 
ket enthalt eine Zahlen-Internetadresse fiir die Firewall, 
(welche durch den Bediener der Vorrichtung oder ein Pro- 
grarnm bereitgestellt werden kann, welches durch die Vor- 

40 richtung 12(m) verarbeitet wird, oder durch den Namen-Ser- 
ver 17 bereitgestellt werden kann, nachdem eine Klartext- 
Internetadresse durch den Bediener oder ein Prograrnm be- 
reitgestellt wurde), und welche insbesondere dazu dient, die 
Firewall 30 zu veranlassen, mit der Vorrichtung 12(m) einen 

45 Sicherheitstunnel aufzubauen. Falls die Firewall 30 die An- 
frage beziiglich des Sicherheitstunnelaufbaus akzeptiert und 
falls die Firewall 30 die Verschlusselungs- und Entschlus- 
selungsalgorithmen und -schlussel bereitstellt, so wie es 
oben angegeben wurde, erzeugt die Firewall 30 ein Ant- 

50 wortnachrichtenpaket zur Ubertragung an die Vorrichtung 
12(m), welches die Verschlusselungs- und Entschlussel- 
ungsalgorithmen und -schlussel identifiziert. Wie oben be- 
schrieben, wird dieses Antwortnachrichtenpaket nicht ver- 
schlusselt. Wenn die Vorrichtung 12(m) die Antwort emp- 

55 fangt, werden die Identifizierungen der Verschlusselungs- 
und Entschlusselungsalgorithmen und -schlussel in dem IP- 
Parameterspeicher 25 gespeichert. 

Zu einem spateren Zeitpunkt in der ersten Phase erzeugt 
die Firewall 30 auch ein Nachrichtenpaket zur Ubertragung 

60 an die Vorrichtung 12(m), welches die Zahlen-Internet- 
adresse des Namen-Servers 32 enthalt. Bei diesem Nach- 
richtenpaket wird der Abschnitt des Nachrichtenpakets, 
welcher die Zahlen-Internetadresse des Namen-Servers 32 
enthalt. unter Verwendung eines Verschlusselungsalgorith- 

65 mus und Vcrschlussclungsschlusscls verschlusselt, und dies 
kann unter Verwendung des Entschlusselungsalgorithmus 
und -schlussels, die durch das zuvor beschriebene Antwort- 
nachrichtenpaket geliefert wurden, wieder entschlusselt 
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werden. Diese Nachricht hat im allgemeinen die folgende 
Struktur: 

n <nA(FW) JT A(DRV1 2( m)xSRC_TUN> 

<ENCR«IIA(FW),nA( : DEV_12(m)><(DNS_ADRS:IIA(- 

NS_2»>" 

wobei 



(i) "IIA(FW) n die Quellenadresse darstellt, d. h. eine 
Zahlen-Internetadresse der Firewall 30, 

(ii) "IIA(DEV_12(m)) n die Zieladresse darstellt, d. h. 
die Zahlen-Internetadresse der Vorrichtung 12 (m), 

(iii) "DNS_ADRS:HA(NS)" angibt, daB 
"IIA(NS_32)" die Zahlen-Internetadresse des Namen- 
Servers 32 darstellt, fiir dessen Benutzung die Vorrich- 
tung 12(m) authorisiert ist, und 

(iv) "ENCR< >" bcdcutct, da8 die Information, 

zwischen den Klammern "<" und ">" verschlusselt ist. 

Der Anfangsabschnitt der Nachricht 

' , IIA(FW),ILA(DEV_12(m))> ,, bildet wenigstens einen Teil 
des Kopfabschnitts der Nachricht. und 
"<ENCR«^A(FW)JIA(DEV_12(m))><^A(NS»> ,, 
stelll wenigstens einen Teil des DalenabschniLts der Nach- 
richt dar. "<SEC_TUN>" stellt einen Hinweis in dem Kopf- 
abschnitt dar, welcher angibt, daB die Nachricht uber den Si- 
cherheitstunnel iibenragen wird, wodurch auch angezeigt 
wird, daB der Datenabschnitt der Nachricht verschlusselte 
Information enthalt. 

, Nachdem die Vorrichtung 12(m) die Nachricht von der 
Firewall 30 empfangt, wie es oben beschrieben wurde, und 
weil das Nachrichtenpaket den <SEC_TUN> Hinweis ent- 
halt, iibertragl deren Netzwerkschnittstelle 21 den ver- 
schlusselten Abschnitt 
,, <ENCR«nA(FW)JIA(DEV_12(m)xDNS_ADRS:IIA(- 
NS_32)>»" an den Sicherheits-Paketprozessor 26 zur Ver- 
arbeitung. Der Sicherheits-Paketprozessor 26 entschlusselt 
den verschlusselten Abschnitt, bestimmt weiter, daB der Ab- 
schnitt "IIA(NS_32) M die Zahlen-Internetadresse des Na- 
men-Servers darstellt, insbesondere des Namen-Servers 32, 
fiir dessen Benutzung die Vorrichtung 12(m) authorisiert ist, 
und speichert diese Adresse in dem IP-Parameterspeicher 25 
zusammen mit einer Angabe, daB die dorthin gerichteten 
Nachrichtenpakete zu der Firewall 30 zu ubertragen sind, 
und daB die Daten in den Nachrichtenpaketen unter Verwen- 
dung des Verschlusselungsalgorithmus und -schlussels, die 
davor durch die Firewall 30 ubennittelt wurden, zu ver- 
schliisseln sind. Es versteht sich, daB aufgrund der Tatsache, 
daB die Zahlen-Internetadresse des Namen- Servers 32 von 
der Firewall an die Vorrichtung 12(m) in verschlusselter 
Form ubertragen wird, diese vertraulich bleibt, selbst wenn 
das Paket durch einen Dritten abgefangen wird. 

In Abhangigkeit des speziellen Protokolls, welches fiir 
den Aufbau des Sicherheitstunnels verwendet wird, konnen 
die Firewall 30 und die Vorrichtung 12(m) auch Nachrich- 
tenpakete austauschen, welche andere Information enthalten 
als die oben beschriebenen. 

Wie oben erwahnt wurde, kann die Vorrichtung 12(m) in 
der zweiten Phase nach der Einrichtung des Sicherheitstun- 
nels die Information, welche wahrend der ersten Phase be- 
reitgesiellt wurde, im Zusammenhang mil dem Erzeugen 
und Ubertragen von Nachrichtenpaketen zu einem oder 
mehreren der Server 31(s) in dem virtuellen privaten Netz- 
wcrk 15 nutzen. Falls bci dicscn Opcrationcn der Bcdicncr 
einer Vorrichtung 12(m) oder ein Programm, welches durch 
eine Vorrichtung 12(m) verarbeitet wird, mochte, daB die 
Vorrichtung 12(m) ein Nachrichtenpaket an einen Server 



31<s) in dem virtuellen privaten Netzwerk 15 ubertragt, und 
falls der Bediener durch die Bedienerschnittstelle 20 oder 
das Programm eine Klartext-Intemetadresse bereitstellt, 
wird zunachst die Vorrichtung 12(rn) 7 insbesondere der Pa- 

5 ketgenerator 22, bestimmen, ob der IP-Parameterspeicher 
25 dort in einem Cache eine Zahlen-Internetadresse gespei- 
chert hat, welche zu der Klartext-Inlernet adresse gehort. 
Falls dies hicht der Fall ist, erzeugt der Paketgenerator 22 
ein Anfragenachrichtenpaket zur Ubertragung an den Na- 

10 men- Server 17, um von diesem die zu der Klartext-Intemet- 
adresse gehorige Zahlen-Internetadresse anzufordern. Falls 
der Namen- Server 17 eine zu der Klartext-Internetadresse 
gehorige Zahlen-Internetadresse besitzt, wird dieser die 
Zahlen-Internetadrese an die Vorrichtung 12(m) liefern. Es 

15 versteht sich, daB dies nur erfolgen kann, wenn die Klartext- 
Internetadresse im Anfragenachrichtenpaket sowohl einer 
Vorrichtung 13 auBerhalb des virtuellen privaten Netzwer- 
kes 15 als auch cin.cm Server 32(s) in dem virtuellen priva- 
ten Netzwerk 15 zugeordnet wurde. Danach kann die Vor- 

20 richtung 12(m) die Zahlen-Internetadresse verwenden, um 
Nachrichtenpakete zur Ubertragung uber das Internet zu er- 
zeugen, wie es oben beschrieben wurde. 

Falls andererseits angenommen wird, daB der Namen- 
Server 17 keine der Klartext-Intemetadresse zugeordnete 

25 Zahlen-Internetadresse besilzt, wird der Namen-Server 17 
ein entsprechend lautendes Antwortnachrichtenpaket an die 
Vorrichtung 12(m) ubermitteln. Sodann erzeugt der Paket- 
generator 22 der Vorrichtung 12(m) ein Anfragenachrich- 
tenpaket zur Ubertragung an den nachsten Namen-Server, 

30 der in ihrem IP-Parameterspeicher 25 identifiziert ist, um 
von diesem Namen-Server die der Klartext-Internetadresse 
zugeordnete Zahlen-Intemetadresse anzufordern. Falls die- 
ser nachste Namen-Server der Namen-Server 32 ist, liefert 
der Paketgenerator 22 das Nachrichtenpaket an den Sicher- 

35 heits-Paketprozessor 26 zur weiteren Verarbeitung. Der Si- 
cherheits-Paketprozessor 26 erzeugt daraufhin ein Anfra- 
genachrichtenpaket zur Ubertragung liber den Sicherheits- 
tunnel an die Firewall 30. Diese Nachricht hat im allgemei- 
nen folgende Struktur: 

40 

M <IIA(DEV_1 2(m)),EA(FW)><SEC JTUN> 
<ENCR«nA(DEV_12(m)),IIA(NS_32))><IIA_REQ»>- 



45 wobei 



50 



55 



60 



65 



(i) "IIA(DEV_12(m)y' die Quellenadresse darstellt, 
d. h. die Zahlen-Internetadresse der Vorrichtung 12(m), 

(ii) "IIACFW)" die Zieladresse darstellt, d. h. die Zah- 
len-Internetadresse der Firewall 30, 

(iii) M nA(NS_32)" die Adresse des Namen-Servers 32 
darstellt, 

(iv) "«nA(DEV_12(m)),IU(NS_32))><IIA_REQ>- 
»" das Anfragenachrichtenpaket darstellt, welches 
durch den Paketgenerator 22 erzeugt wird, wobei 
,, <nA(DEV_12(m)),nA(NS_32)>" den Kopf abschnitt 
des Anfragenachrichtenpakets und M <ELA_REQ>" den 
Datenabschnitt des Anfragenachrichtenpakets darstellt, 

(v) M ENCR<. . . .>" angibt, daB die Information zwi- 
schen den Klammern "<" und ">" verschlusselt ist, und 

(vi) "<SEC_TUN>" einen Hinweis in dem Kopfab- 
schnitt des Nachrichtenpakets darstellt, welches durch 
den Sicherheitspakeigenerator 26 erzeugt wird und an- 
gibt, daB die Nachricht uber den Sicherheitstunnel 
tibcrtragen wird, wobei hicrdurch angegeben wird, daB 
der Datenabschnitt der Nachricht verschlusselte Infor- 
mation enthalt. 
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Wenn die Firewall 30 das durch den Sicherheitspaketge- 
nerator 26 erzcugic Anfragenachrichtenpaket empfangt, 
wird diese den versehliisselten Abschnitt des Nachrichten- 
pakets entschl Ossein, urn 

' , «IIA{DEV„12(nl)),^A(NS_32))><^A_REQ» ,, zu er- 
hallen. Dies sielh das Anfragenachrichlenpaket dar, welches 
durch den Pakei generator 22 erzeugt wird. Nachdem das 
Anfragenachrichlenpaket erhalten wurde, iibertragt die Fire- 
wall 30 dieses Liber die Ubertragungsverbindung 33 an den 
Nanicn-Server 32. In Abhangigkeit von dem Protokoll zur 
Ubertragung von Nachrichtenpaketen iiber die Ubertra- 
gungsverbindung 33 kann es bei diesem ProzeB fur die Fire- 
wall 30 notwendig sein, das Anfragenachrichlenpaket zu 
niodifi/.icrcn, damil es dem Protokoll der Ubertragungsver- 
bindung 33 entsprichl. 

Nachdem der Nanien-Server 32 das Anfragenachrichten- 
pakei erhalien hat. wird diescr das Anfragenachrichlenpaket 
verarbeiicn. uni /.u bestiinmcn, ob cr cine der Klartext-Inter- 
netadresse. welche in deiu Anfragenachrichlenpaket gesen- 
dei wird. /.ugcordnctc /ahlen-Internetadresse besitzt. Falls 
der Namen-Servcr Icslslclll. daB er eine solche Zahlen-Inter- 
nclailrcsse aulwcist, wird diescr ein Antwortnachrichtenpa- 
kei /.ur Ubertragung an die Firewall erzeugen, welches die 
/allien- Inicrncladresse enlhalt. Im allgemeinen hat das Ant- 
wortnachridiiLiipakci die folgcride Slruktur: 

"«I!Ai\ T S JZiJIAtDHV ^(nOxIIA.RESP^ 1 

wobei 

\ i ) "II 'V NS 32 )" i lie Quellenadresse darstellt, d. h. die 
/ahlcn-Iniernctadressc des Nanien- Servers 32, 
i ih "IlAiDliV I2(in)r die '/ieladresse darstellt, d. h. 
die /ahlen- In lemeladressc der Vorrichtung 12(m), und 
(iii) "IIA RI-SP" die Zahlen-Internetadresse darstellt, 
wclchc der Klartexi-Intemcladresse zugeordnet ist. 

Nachdem die Firewall 30 das Antwortnachrichtenpaket 
emplanj:en hat, und weil die Kommunikation mil der Vor- 
richtung 12(mi uber den da/.wischenliegenden Sicherheits- 
tunncl staiilindct. verschliisscli die Firewall 30 das von dem 
Namen-Servcr 32 eniplangene Antwortnachrichtenpaket 
und er/eugl ein Naehrichienpaket zur Ubertragung an die 
Vorrichtung 12(m). welches das vcrschlusselte Antwort- 
nachrichlenpakei enlhalt. Im allgemeinen hat das durch die 
Firewall 30 er/eugte Nachrichtenpaket die folgende Struk- 
tur: 

"<ri A(l W ).II A(DI: V 1 2( m)xSEC TUN)> 
<ENCR«IIA< NS _32) JIA(DEV_ 1 2(m))xIIA_RESP»- 



wobci 



(i) "IIA(FW)" die Quellenadresse darstellt, d. h. die 
/allien- Interne t adrcsse der Firewall 30, 

(ii) "IIA(DEV_12(m))" die Zieladresse darstellt, d. h. 
die Zahlen-Intemetadresse der Vorrichtung 12(m), 

(iii) "SE(Vn JN" eincn Hinweis in dem Kopfabschnitt 
des Nachrichienpakcts darstellt, welches durch den Si- 
chcrhcitspakct generator 26 erzeugt wird, und angibt, 
da!3 die Nachricht iiber den Sicherheitstunnel iibertra- 
gen wird, und wobei auch angegeben wird, daB der Da- 
tenabschniu der Nachricht verschliisselte Information 
enthalt, 

(iv) "ENCR<. . . .>" angibt, daB die Information zwi- 
schen den Klammern "<" und ">" (was dem von dem 
Namen-Server 32 empfangenen Antwortnachrichten- 



paket entspricht) verschliisselt ist. 

Zusatzlich kann es je nach dem Protokoll zur Ubertra- 
gung von Nachrichtenpaketen uber die Ubertragungsverbin- 

5 dung 33 fur die Firewall 30 notwendig sein, das Nachrich- 
tenpaket zu bearbeiten und/oder zu modifizieren, damit die- 
ses dem Protokoll des Internets 14 entspricht. 

Wenn die Vorrichtung 12(m) das Nachrichtenpaket von 
der Firewall 30 empfangt, wird das Nachrichtenpaket an den 

to Sicherheits-Paketprozessor 26 geliefert. Der Sicherheitspa- 
ketprozessor 26 entschlusselt daraufhin den versehliisselten 
Abschnitt des Nachrichtenpakets, um die der Klartext-Inter- 
netadresse zugeordnete Zahlen-Internetadresse zu erhalten 
und ladt diese Information in den IP-Parameterspeicher 25. 

15 Danach kann die Vorrichtung diese Zahlen-Internetadresse 
beim Erzeugen von Nachrichtenpaketen zur Ubertragung an 
den Server 31(s) verwenden, welcher zu der Klartext-Inter- 
nctadrcssc gchort. 

Es versteht sich, daB, falls der Namen-Server 32 keine 

20 Zahlen-Internetadresse besitzt, welche der durch die Vor- 
richtung 12(m) in dem Anfragenachrichtenpaket gelieferte 
Klartext-Internetadresse zugeordnet ist, dies der Namen- 
Server 32 in dem durch ihn erzeugten Antwortnachrichten- 
paket entsprechend anzeigen. Die Firewall 30 erzeugt dann 

25 in Reaktion auf das durch den Namen-Server 32 gelieferte 
Antwortnachrichtenpaket auch ein Nachrichtenpaket zur 
Ubertragung an die Vorrichtung 12(m), welches einen ver- 
sehliisselten Abschnitt enthalt, der das Antwortnachrichten- 
paket umfaBt, das durch den Namen-Server 32 erzeugt 

30 wurde. Nachdem die Vorrichtung 12(m) das Nachrichtenpa- 
ket empfangen hat, wird der verschliisselte Abschnitt durch 
den Sicherheitspaketprozessor 26 entschlusselt, welcher 
daraufhin den Paketgenerator 22 dariiber informiert, daB der 
Namen-Server 32 keine der Klartext-Internetadresse zuge- 

35 ordnete Zahlen-Internetadresse besitzt. Falls der IP-Parame- 
terspeicher 25 die Identifizierung eines anderen Namen-Ser- 
vers enthalt, erzeugt sodann der Paketgenerator 22 der Vor- 
richtung 12(m) ein Anfragenachrichtenpaket zur Ubertra- 
gung an den nachsten Namen-Server, der in deren IP-Para- 

40 meterspeicher 25 identifiziert ist, um von diesem Namen- 
Server die Zahlen-Internetadresse anzufordern, welche der 
Klartext-Internetadresse zugeordnet ist. Falls andererseits 
der IP-Parameterspeicher 25 keine Identifizierung eines an- 
deren Namen- Servers enthalt, kann der Paketgenerator 22 

45 die Bedienerschnittstelle 20 oder ein Programm dariiber in- 
formieren, daB er nicht in der Lage ist, ein Nachrichtenpaket 
zur Ubertragung an eine Vorrichtung zu erzeugen, welche 
der Klartext-Internetadresse zugeordnet ist, welche durch 
die Bedienerschnittstelle 20 oder ein Programm eingegeben 

50 bzw. bereitgestellt wurde. 

Die Erfindung liefert eine Anzahl von Vorteilen. Insbe- 
sondere schafft die Erfindung ein System zum Vereinfachen 
der Kommunikation zwischen Vorrichtungen, welche mil 
einem offentlichen Netzwerk verbunden sind, z. B. mit dem 

55 Internet 14, und Vorrichtungen, welche mit privaten Netz- 
werken verbunden sind, z. B. mit dem virtuellen privaten 
Netzwerk 15, indem die Umwandlung von Klartextadressen 
in Netzwerkadressen durch einen Namen-Server. der bevor- 
zugt iiber einen Sicherheitstunnel mit den privaten Netzwer- 

60 ken verbunden ist, ermoglicht wird. 

Es versteht sich, daB eine Vielzahl von Modifikationen an 
der im Zusammenhang mit Fig. 1 beschriebenen Anordnung 
durchgefuhrt werden konnen. Obwohl das Netzwerk 10 so 
beschrieben wurde, daB die Identifizierung der Verschlussel- 

65 ungs- und Entschliissclungsalgorithmcn und -schliisscl 
durch die Vorrichtung 12(m) und die Firewall 30 wahrend 
des Dialogs, wahrenddessen der Sicherheitstunnel einge- 
richtet wird, ausgetauscht wird, versteht es sich, daB bei- 
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spielsweise Information durch die Vorrichtung 12(m) und 
die Firewall 30 gelrennt von dem Aufbau eines solchen Si- 
cherheitstunnels bereitgestellt werden konnen. 

Obwohl die Erfindung im Zusammenhang mit dem Inter- 
net beschrieben wurde, versteht es sich femer, daB die Erfin- 5 
dung in Verbindung mil jedem, insbesondere globalen, 
Netzwerk verwendet werden kann. Obwohl die Erfindung 
im Zusammenhang mit einem Netzwerk beschrieben wurde, 
welches ein System von Klartext-Neizwerkadressen bereit- 
stellt. versteht es sich femer, daB die Erfindung nicht darauf to 
beschrankt ist sondem in Verbindung mit jedem Netzwerk 
verwendet werden kann, welches irgendeine Form einer - 
den systemeigenen Netzwerkadressen tibergeordnete - Se- 
kundar-Netzwerkadresseneinrichtung oder vergleichbare 
nicht- fonnelier Netzwerkadresseneinrichtung vorsieht. 15 

Es versteht sich ferner, daB ein erfindungsgemaBes Sy- 
stem als ganzes oder in Teilen aus speziell hierfur geeigneter 
Hardware oder cincm allgcmcin gccignctcn Computcrsy- 
stem oder jeder Kombination davon aufgebaut werden kann, 
wobei jeder Abschnitt davon durch ein geeignetes Pro- 20 
gramm gesteuert werden kann. Jedes Programni kann als 
ganzes oder in Teilen einen Teil des Systems umfassen oder 
auf dem System in einer konventionellen Weise gespeichert 
sein, oder es kann als ganzes oder in Teilen in das System 
uber ein Netzwerk oder andere Mechanismen zur Uberlra- 25 
gung von Information in einer konventionellen Weise be- 
reitgestellt werden. Zusatzlich versteht es sich, daB das Sy- 
stem betrieben und/oder auf andere Art und Weise mittels 
Information gesteuen werden kann, welche durch einen Be- 
diener mittels Bedienereingabeelementen (nicht gezeigt) be- 30 
reitgestellt wird, welche direkt an das System angeschlossen 
sein konnen oder welche die Information uber ein Netzwerk 
oder andere Mechanismen zur Ubertragung von Information 
in einer konventionellen Weise ubertragen konnen. 

Die vorstehende Beschreibung hat sich auf ein spezifi- 35 
sches Ausfuhrungsbeispiel der Erfindung bezogen. Es ver- 
steht sich jedoch, daB verschiedene Variationen und Modifi- 
kationen der Erfindung gemacht werden konnen, bei wel- 
chen einige oder alle der Vorteile der Erfindung erreicht 
werden. Diese und andere Variationen und Modifikationen 40 
fallen in den Schutzbereich der vorliegenden Erfindung, der 
durch die nachfolgenden Anspriiche bestimmt ist. 

Patentanspriiche 

45 

1. System umfassend ein virtuelles privates Netzwerk 
(15) und eine exteme Vorrichtung (12 (m)), welche 
uber ein digitales Netzwerk (14) kommunizieren, wo- 
bei: 

das virtuelle private Netzwerk (15) eine Firewall (30), 50 
wenigstens eine interne Vorrichtung (31(s)) und einen 
Namen-Server (32) aufweist, welche jeweils eine Netz- 
werkadresse besitzen, wobei die interne Vorrichtung 
(31(s)) auch eine Sekundaradresse besitzt und der Na- 
men-Server (32) derari konfiguriert ist, daB er eine Zu- 55 
ordnung zwischen der Sekundaradresse und der Netz- 
werkadresse bereitstellt, 

die Firewall (30) derart konfiguriert ist, daB sie der ex- 
temen Vorrichtung (12(m)) in Reaktion auf deren An- 
frage zuni Aufbau einer Verbindung zur Firewall (30) 60 
die Netzwerkadresse des Namen- Servers (32) liefert, 
und 

die externe Vorrichtung (12(ni)) derart konfiguriert ist, 
daB sie in Reaktion auf eine Anfrage zum Zugriff auf 
die interne Vorrichtung (31 (s)), welche die Sckunda- 65 
radresse der internen Vorrichtung (31 (s)) enthalt, eine 
Netzwerkadressen-Anfragenachricht zur Ubertragung 
uber die Verbindung an die Firewall (30) erzeugt, wel- 
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che eine Aufiosung der der Sekundaradresse zugeord- 
neten Netzwerkadresse anfordert, wobei die Firewall 
(30) derart konfiguriert ist, daB sie die Adressenauflo- 
sungsanfrage an den Namen-Server (32) ubenTiittelt, 
der Namen-Server (32) derart konfiguriert ist, daB er 
die der Sekundaradresse zugeordnete Netzwerkadresse 
bereitstellt, und die Firewall (30) daraufhin die Netz- 
werkadresse in einer Netzwerkadressen- A ntwortnach- 
richt zur Ubertragung uber die Verbindung an die ex- 
terne Vorrichtung (12(m)) bereitstellt. 
' 2. System nach Anspruch 1 , bei welchem die externe 
Vorrichtung (12(m)) derart konfiguriert ist, daB sie die 
in der Netzwerkadressen- A ntwortnachricht bereitge- 
stellte Netzwerkadresse beim Erzeugen von wenig- 
stens einer Nachricht zur Ubertragung an die interne 
Vorrichtung (31 (s)) verwendet. 

3. System nach Anspruch 1 oder 2, bei welchem die 
externe Vorrichtung (12(m)) derart konfiguriert ist, daB 
sie mit dem Netzwerk (14) durch einen Netzwerk-Ser- 
vice- Provider (11) verbunden wird. 

4. System nach Anspruch 3, bei welchem die externe 
Vorrichtung (12(m)) derart konfiguriert ist, daB sie eine 
Kommunikationssitzung mit dem Netzwerk-Service- 
Provider (11) aufbaut, wobei der Netzwerk- Service- 
Provider (11) der extemen Vorrichtung (12(m)j die 
Identifizierung eines weiteren Namen- Servers ubermit- 
telt, wobei der weitere Namen-Server derart konfigu- 
riert ist, daB er eine Zuordnung zwischen einer Sekun- 
daradresse und einer Netzwerkadresse fur wenigstens 
eine Vorrichtung bereitstellt. 

5. System nach einem der vorstehenden Anspriiche, 
bei welchem die externe Vorrichtung (12(m)) derart 
konfiguriert ist, daB sie eine Liste von Nanien-Servern 
erhalt, welche der extemen Vorrichtung (12(m)) identi- 
fiziert wurden, und die exteme Vorrichtung (12(m)) die 
Namen-Server in der Liste nacheinander in Reaktion 
auf eine Anfrage zum Zugriff auf eine andere Vorrich- 
tung abfragt, wobei die Anfrage eine Sekundaradresse 
der anderen Vorrichtung enthalt, solange bis die ex- 
terne Vorrichtung (12(m)) eine Netzwerkadresse emp- 
fangt, wobei die externe Vorrichtung (12(m)) in jedem 
Abfragevorgang eine Netzwerkadressen-Arifrages- 
nachricht zur Ubertragung uber das Netzwerk (14) er- 
zeugU welche durch einen der Namen-Server in der Li- 
ste zu beantworten ist, und von diesem eine Netzwerk- 
adressen-Antwortnachricht empfangt. 

6. System nach einem der vorstehenden Anspriiche, 
bei welchem die Verbindung zwischen der extemen 
Vorrichtung (12(m)) und der Firewall (30) ein Sicher- 
heitstunnel ist, in welchem wenigstens ein der zwi- 
schen der extemen Vorrichtung (12(m)) und der Fire- 
wall (30) ubertragenen Nachrichten verschlusselt ist. 

7. Verfahren zum Betreiben eines Systems umfassend 
ein virtuelles privates Netzwerk (15) und eine externe 
Vorrichtung (12(m)), welche durch ein digitales Netz- 
werk (14) miteinander verbunden sind, wobei das vir- 
tuelle private Netzwerk (15) eine Firewall (30), wenig- 
stens eine interne Vorrichtung (31 (s)) und einen Na- 
men-Server (32) aufweist, welche jeweils eine Netz- 
werkadresse besitzen, wobei die interne Vorrichtung 
(31 (s)) auch eine Sekundaradresse besitzt, und der Na- 
men-Server (32) derart konfiguriert ist, daB er eine Zu- 
ordnung zwischen der Sekundaradresse und der Netz- 
werkadresse bereitstellt, wobei: 

A. in Reaktion auf cine Anfrage der extemen 
Vorrichtung (12(m)) zum Aufbau einer Verbin- 
dung zur Firewall (30) die Firewall (30) derexter- 
nen Vorrichtung (12(m)) die Netzwerkadresse des 
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Namen-Servers (32) ubermittelt; und 
B. (i) in Reaktion auf eine Anfrage zum Zu griff 
auf die interne Vorrichtung (31(s)), welche die Se- 
kundaradresse der internen Vorrichtung (31(s)) 
enthalt, die exteme Vorrichtung (12(m)) eine 5 
Netzwerkadressen-Anfragenachricht zur Ubertra- 
gung iiber die Verbindung an die Firewall (30) er- 
zeugt, welche eine Auflosung der Netzwerk- 
adresse, welche der Sekundaradresse zugeordnet 
ist, anfordert, to 
(ii) die Firewall (30) die Adressenauflosungsan- 
frage an den Namen-Server (32) ubermittelt, (iii) 
der Namen-Server (32) die der Sekundaradresse 
zugeordnete Netzwerkadresse bereitstellt, und 
(iv) die Firewall (30) die Netzwerkadresse in ei- 15 
ner Netzwerkadressen-Antwortnachricht zur 
Ubertragung iiber die Verbindung an die externe 
Vorrichtung (12(m)) bereitstellt. 

8. Verfahren nach Anspruch 7. bei welchem die ex- 
terne Vorrichtung (12((m) ferner die in der Netzwerk- 20 
adressen-Antwortnachricht bereitgestellte Netzwerk- 
adresse beim Erzeugen von wenigstens einer Nachricht 
zur Ubertragung an die interne Vorrichtung (31(s)) ver- 
wendet. 

9. Verfahren nach Anspruch 7 oder 8, bei welchem die 25 
externe Vorrichtung (12(m)) mit dem Netzwerk (14) 
durch einen Netzwerk-Service-Provider (11) verbun- 
den werden kann. 

10. Verfahren nach Anspruch 9, bei welchem die ex- 
terne Vorrichtung (12(m)) eine Kommunikationssit- 30 
zung mil dem Netzwerk-Service-Provider (11) aufbaut, 
wobei der Netzwerk-Service-Provider (11) der exter- 
nen Vorriclitung (12(nt)) die Identifizierung eines wei- 
teren Namen-Servers ubermittelt, wobei der weitere 
Namen-Server eine Zuordnung zwischen einer Sekun- 3S 
daradresse und einer Netzwerkadresse fur wenigstens 
eine Vorrichtung bereitstellt. 

1 1 . Verfahren nach einem der Anspruche 7 bis 10, bei 
welchem die externe Vorrichtung (12(m)) eine Liste 
von Namen-Servern erhalt, welche der externen Vor- 40 
richtung (12(m)) identifiziert wurden, und die externe 
Vorrichtung (12(m)) die Namen-Server in der Liste 
nacheinander in Reaktion auf eine Anfrage zum Zu- 
griff auf eine andere Vorrichtung abfragt, wobei die 
Anfrage eine Sekundaradresse der anderen Vorrichtung 45 
enthalt, solange bis die externe Vorrichtung (12(m)) 
eine Netzwerkadresse empfangt, wobei die exteme 
Vorrichtung (12(m)) in jedem Abfragevorgang eine 
Netzwerkadressen-Anfragenachricht zur Ubertragung 
iiber das Netzwerk (14) erzeugt, welche durch einen 50 
der Namen-Server in der Liste zu beantworten ist, und 
von diesem eine Netzwerkadressen-Antwortnachricht 
empfangt, 

12. Verfahren nach einem der Anspruche 7 bis 11, bei 
welchem die Verbindung zwischen der externen Vor- 55 
richtung (12(m)) und der Firewall (30) ein Sicherheits- 
tunnel ist, in welchem wenigstens ein Abschnitt der 
zwischen der externen Vorrichtung (12(rn)) und der Fi- 
rewall (30) ubertragenen Nachrichten verschlusselt ist. 

13. Computerprogramm-Produkt zur gemeinsamen 60 
Verwendung mit einem virtuellen privaten Netzwerk 
(15) und einer externen Vorrichtung (12(m)), welche 
durch ein digitales Netzwerk (14) miteinander verbun- 
den sind, wobei das virtuelle private Netzwerk eine Fi- 
rewall (30), wenigstens cine interne Vorrichtung 65 
(31(s)) und einen Namen-Server (32) aufweist, welche 
jeweils eine Netzwerkadresse besitzen, wobei die in- 
terne Vorrichtung (31 (s)) auch eine Sekundaradresse 
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besitzt, und der Namen-Server (32) derart konfiguriert 
ist, daB er eine Zuordnung zwischen der Sekundarad- 
resse und der Netzwerkadresse bereitstellt, wobei das 
Computerprogrammprodukt ein maschinenlesbares 
Medium mit folgenden Codes aufweist: 

A. ein Namen-Server-Identifizierungscodemo- 
dul. welches veranlaBt, daB die Firewall (30) der 

• externen Vorrichtung (12(m)) in Reaktion auf de- 
ren Anfrage zum Aufbau einer Verbindung zur Fi- 
rewall (30) die Netzwerkadresse des Namen-Ser- 
vers (32) ubennittelt, 

B. ein Codemodul zur Erzeugung einer Netz- 
werkadressen-Anfragenachricht, welches veran- . 
laBt, daB die externe Vorrichtung (12(m)) in Reak- 
tion auf eine Anfrage zum Zugriff auf die interne 
Vorrichtung (31 (s)), welche die Sekundaradresse 
der internen Vorrichtung (31 (s)) enthalt, eine 
Nctzwcrkadrcsscn-Anfragcnachricht zur Ubertra- 
gung iiber die Verbindung an die Firewall (30) er- 
zeugt, welche die Auflosung der der Sekundarad- 
resse zugeordneten Netzwerkadresse anfordert, 

C. ein Modul zur Ubermittlung einer Adressen- 
auflosungsanfrage, welches veranlaBt, daB die Fi- x 
rewall (30) die Adressenauflbsungsanfrage an den 
Namen-Server (32) ubennittelt, 

D. ein Namen-Server-Steuerungsmodul, welches 
veranlaBt, daB der Namen-Server (32) die der Se- 
kundaradresse zugeordnete Netzwerkadresse be- 
reitstellt, und 

E. ein Modul zur Ubermittlung einer Netzwerk- 
adressen-Antwortnachricht, welches veranlaBt, 
daB die Firewall (30) die Netzwerkadresse in einer 
Netzwerkadressen-Antwortnachricht zur Ubertra- 
gung iiber die Verbindung an die exteme Vorrich- 
tung (12(m)) bereitstellt. 

14. Computerprogramm-Produkt nach Anspruch 13; 
welches femer ein Netzwerkadressenverwendungsmo- 
dul aufweist, welches veranlaBt, daB die externe Vor- 
richtung (12(m)) die in der Netzwerkadressen-Ant- 
wortnachricht ubermittelte Netzwerkadresse beim Er- 
zeugen von wenigstens einer Nachricht zur Ubertra- 
gung an die interne Vorrichtung (31 (s)) verwendet. 

15. Computerprogramm-Produkt nach Anspruch 13 
oder 14, welches ferner ein Netzwerk-Service-Provi- 
der-Steuerungsmodul aufweist, welches veranlaBt, daB 
die externe Vorrichtung (12(m)) mit dem Netzwerk 
(14) durch einen Netzwerk-Service-Provider (11) ver- 
bunden wird. 

16. Computerprogramm-Produkt nach Anspruch 15, 
bei welchem das Netzwerk-Service-Provider-Steue- 
rungsmodul ein Kommunikationssitzungsaufbaumodul 
umfaBt, welches veranlaBt, daB die externe Vorrichtung 
(12(m)) mit dem Netzwerk-Service-Provider (11) eine 
Kommunikationssit zung aufbaut und von diesem eine 
Identifizierung von einem weiteren Namen-Server 
empfangt. 

17. Computerprogramm-Produkt nach einem der An- 
spruche 13 bis 16, welches ferner ein Namen-Server- 
Abfragesteuerungsmodul aufweist, welches veranlaBt, 
daB die externe Vorrichtung (12(m)) eine Liste von Na- 
men-Servern erhalt, welche der externen Vorrichtung 
(12(m)) identifiziert wurden, und die Namen-Server in 
der Lisle nacheinander in Reaktion auf eine Anfrage 
zum Zugriff auf eine andere Vorrichtung abfragt, wobei 
die Anfrage cine Sekundaradresse der anderen Vorrich- 
tung enthalt, solange bis die externe Vorrichtung 
(12(m)) eine Netzwerkadresse empfangt, und wobei 
die externe Vorrichtung (12(m)) in jedem Abfragevor- 
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gang eine Netzwerkadressen-Anfragesnachricht zur 
tlbertragung uber das Netzwerk (14) erzeugt, welche 
durch einen der Namen-Server in der Lisle zu beant- 
worten ist, und von'|diesem eine Netzwerk ad ressen- 
Anlworlnachricht empfangt. 5 
18. Coniputerprogramm-Produkt nach einem der An- 
spriiche 13 bis 17, bei welchem die Verbindung zwi- 
schen der externen Vorrichtung (12(m)) und der Fire- 
wall (30) ein Sicherheitstunnel ist, in welchem wenig- 
stens ein Abschnitt der zwischen der externen Vorrich- 10 
tung (12(m)) und der Firewall (30) ubertragenen Nach- 
richten verschlusselt ist. 
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